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Wijziging van de Wet gebruik 
burgerservicenummer in de zorg, de Wet 
marktordening gezondheidszorg en de 
Zorgverzekeringswet (cliëntenrechten bij 
elektronische verwerking van gegevens) 


VERSLAG VAN EEN DESKUNDIGENBIJEENKOMST 

Vastgesteld 21 april 2016 

De vaste commissie voor Volksgezondheid, Welzijn en Sport 1 heeft op 
5 april 2016 gesprekken gevoerd met deskundigen over cliëntenrechten 
bij elektronische verwerking van gegevens: kansen en risico's 
van de invoering van het wetsvoorstel. 

Van deze gesprekken brengt de commissie bijgaand geredigeerd 
woordelijk verslag uit. 

De voorzitter van de commissie voor Volksgezondheid, Welzijn en Sport, 
Martens 

De griffier van de commissie voor Volksgezondheid, Welzijn en Sport, 

De Boer 


1 Samenstelling: 

Ten Hoeve (OSF), Koffeman (PvdD), Kuiper (CU), De Vries-Leggedoor (CDA), Flierman (CDA), 
Barth (PvdA), Beuving (PvdA), Ganzevoort (GL), De Grave (VVD), Martens (CDA) ( voorzitter ), 
Schouwenaar (VVD), Bruijn (VVD) (vice-voorzitter), Gerkens (SP), Kops (PVV), Atsma (CDA), 
Bredenoord (D66), Dercksen (PVV), Van Dijk (SGP), Don (SP), Van Hattem (PVV), Krikke (VVD), 
Nooren (PvdA), Oomen-Ruijten (CDA), Prast (D66), Van Rooijen (50PLUS), Schnabel (D66), 
Wezel (SP) 
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Voorzitter: Martens 
Griffier: De Boer 

Aanwezig zijn zeven leden der Eerste Kamer, te weten: Bredenoord, 

Bruijn, Ganzevoort, Gerkens, Van Hattem, Martens en Nooren, 

alsmede de volgende deskundigen: 

Thema 1: Uitvoerbaarheid en handhaafbaarheid 

De heren Smals (KNMP), Nouwt (KNMG), Heldoorn (NPCF), Voest 
(Brancheorganisaties in de zorg/BoZ), mevrouw Van Leeuwen (Consumen¬ 
tenbond), de heerTomesen (Autoriteit Persoonsgegevens). 

Thema 2: Veiligheid en techniek 

De heren Verheul (RU/KeyControls), Van 't Noordende (UvA/Whitebox 
Systems), Bosman (Nictiz), Van Miltenburg (VZVZ), Engelen (Radboudmc), 
Böhre (Privacy First/Specifieke toestemming.nl). 

Aanvang 16.00 uur. 

Thema 1: Uitvoerbaarheid en handhaafbaarheid 

De voorzitter: Volgens mij is iedereen aanwezig. Dit is de tweede 
bijeenkomst waarin wij worden gebriefd over dit wetsvoorstel, om te 
bezien wat de kansen en de bedreigingen daarvan zijn. Het antwoord van 
de Minister is in december jl. tot ons gekomen. Inmiddels is de samen¬ 
stelling van de Eerste Kamer een andere ten opzichte van die tijdens het 
vorige gesprek. Er zijn dus nieuwe woordvoerders. Ook dat was een 
aanleiding om te bezien hoe een en ander zit. We hebben nog één 
mogelijkheid om vragen te stellen voordat we in de eindfase van de 
afhandeling komen. Die fase zal plenair plaatsvinden. 

U bent gevraagd om vanuit uw expertise te spreken over de kansen en 
bedreigingen. De tijd is kort en er zijn veel sprekers. Er wordt dus een 
beroep gedaan op de discipline van ons allen. 

Ik maak gebruik van een timer, wat inhoudt dat er na vijf minuten subtiel 
een belletje begint te rinkelen dat erop duidt dat u moet afronden. Dat 
hoort u vanzelf. 

Ik wens u allen een inspirerende en informatieve bijeenkomst toe. Ik geef 
de heer Smals het woord om te spreken namens de apothekers. 

De heer Smals: Voorzitter. Dank voor de uitnodiging. De formele 
standpunten van de KNMP (Koninklijke Nederlandse Maatschappij ter 
beoordeling der Pharmacie) hebt u al per brief ontvangen. 

Mijn naam is Bart Smals. Ik ben geen beleidsmedewerker. Evenmin ben ik 
ICT-deskundige of jurist. Ik ben gewoon apotheker in 's Gravenzande, het 
Westland. Ik heb enige tijd in het hoofdbestuur gezeten van de KNMP, 
maar nu besteed ik het grootste deel van mijn tijd aan het controleren van 
receptjes en aan het eind van de dag controleer ik de signaallijst. Ik heb de 
signaallijst van de laatste dagen nog even doorgenomen, onder andere 
ter voorbereiding op dit overleg. Ik wil namelijk met wat voorbeelden 
illustreren wat volgens mij voor u relevant is. 

Op de signaallijsten staan de interacties en dat soort zaken. Die krijg je 
aan het eind van de dag. Mijn eerste voorbeeld betreft een antibioti- 
cumkuurtje voor een mevrouw - dit is een voorval van enkele dagen 
geleden - die bij de reumatoloog was geweest. Ik ken haar een beetje en 
vroeg haar hoe het met haar ging. Daarop antwoordde ze dat de reuma¬ 
toloog haar een nieuw geneesmiddel had voorgeschreven, namelijk 
methotrexaat. Die naam zegt u waarschijnlijk niets. Dit middel is toxisch 


Eerste Kamer, vergaderjaar 2015-2016, 33 509, L 


2 


van aard en met het antibioticakuurtje is dat een probleem. Voor een 
apotheker is dit appeltje-eitje; het is standaardwerk voor ons. Wij hebben 
echter wel het liefst dat die gegevens beschikbaar zijn op het moment dat 
we die nodig hebben. In dit voorbeeld bleek dat niet het geval te zijn. Deze 
mevrouw had de medicatie die de reumatoloog had voorgeschreven van 
de poliklinische apotheek gekregen. Zij had daar geen toestemming 
verleend voor het uitwisselen van gegevens, want zij dacht: dat heb ik in 
de apotheek al gedaan. Dit is dus een voorbeeld van iets wat volgens mij 
geregeld moet worden. 

Een ander voorbeeld heeft betrekking op laboratoriumwaarden. Deze 
worden door apothekers steeds meer gebruikt in de dagelijkse praktijk. Ik 
ben daar heel erg trots op en kan daar wel een uur over praten. Laat ik dat 
echter niet doen. Het komt regelmatig voor dat ik doseringen van 
bijvoorbeeld kuurtjes aanpas op basis van de nierfunctie van mensen, die 
blijkt uit die laboratoriumwaarden. Als een patiënt de huisarts of het 
laboratorium niet heeft toegestaan die gegevens te delen, moet ik bellen 
of mailen om die gegevens te krijgen. Mailen vind ik een probleem, want 
eigenlijk mag dat niet. Dit moet dan echter wel gebeuren. Er is overigens 
geen patiënt die daarvan op dat moment een probleem maakt. En je kunt 
daarmee voorkomen dat iemand iets krijgt waardoor hij net over het 
randje gaat en zijn nieren het helemaal niet meer doen, om maar een 
voorbeeld te noemen. 

Ik wil met deze voorbeelden duidelijk maken dat het erg onhandig is dat 
een patiënt op verschillende plekken, bij verschillende zorgverleners, 
toestemming moet geven. De meeste patiënten hebben dat niet in de 
gaten. 99,9% van het aantal mensen dat bij mij aan de balie komt, zegt: 
goh, dat weet u toch gewoon? Nee, dat weet ik dus niet. Het zou handig 
zijn als dat generiek zou kunnen gebeuren. «Generiek» is waarschijnlijk 
het verkeerde woord in deze context, maar u snapt vast en zeker wat ik 
bedoel te zeggen. 

De voorzitter: In één keer. 

De heer Smals: Nee, in één keer voor de verschillende zorgverleners. Als 
je de apotheek wilt toestaan om de medicatiegegevens uit te wisselen, 
moet je dat voor de apotheek in één keer kunnen doen. In het voorbeeld 
dat ik aanhaalde, dacht de patiënte dat ze bij mij had aangegeven dat de 
medicatiegegevens uitgewisseld konden worden. Dat blijkt echter niet zo 
te zijn. Zij is namelijk bij een andere apotheek geweest en had dit ook daar 
moeten aangeven. Dat bedoel ik met «generiek», al is dit, zoals ik al zei, 
het verkeerde woord in deze context. 

De heer Nouwt: Eenmalig. 

Mevrouw Gerkens (SP): Of specifiek. 

De heer Smals: Eenmalig, specifiek, op de juiste manier; de apotheek 
heeft dan het totaaloverzicht om dat te doen. 

Op de eerste versie van het wetsvoorstel dat wij gezien hebben, hadden 
wij en andere partijen in de zorg nogal wat op- en aanmerkingen. Op 
onderdelen was het onuitvoerbaar. Uit de brief van de Minister van 
22 december jl. blijkt dat de voor ons belangrijkste angels eruit zijn 
gehaald. De KNMP is nu van mening dat dit voldoende vertrouwen geeft 
om ermee door te gaan, om druk op het veld te houden, ook indien er 
problemen zijn die opgelost moeten worden. Wij hebben er dus 
vertrouwen in dat we eruit komen als problemen moeten worden 
opgelost. 

De voorzitter: U bleef mooi binnen de tijd. Ik geef het woord aan de heer 
Nouwt. 
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De heer Nouwt: Voorzitter. Ik ben Sjaak Nouwt. Ik ben jurist en werk sinds 
2009 als adviseur gezondheidsrecht bij de artsenfederatie KNMG 
(Koninklijke Nederlandse Maatschappij ter bevordering der Geneeskunst). 
Daar houd ik mij bezig met vraagstukken op het terrein van privacyrecht, 
medisch beroepsgeheim en juridische aspecten van ICT in de zorg. In deze 
inleiding wil ik vooral stilstaan bij een onderdeel in het wetsvoorstel, 
namelijk de gespecificeerde toestemming. In dat kader zal ik twee punten 
onder uw aandacht brengen. 

Ik wijs erop dat de KNMG met de LHV (Landelijke Huisartsen Vereniging), 
de KNMP en de NPCF (Nederlandse Patiënten Consumenten Federatie), 
Nictiz en het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) 
constructief samenwerkt aan de voorbereiding van een tweetal projecten 
met betrekking tot de uitvoerbaarheid en de implementatiemogelijkheden 
van de gespecificeerde toestemming. De Minister heeft daarover op 
22 december jl., in de nadere memorie van antwoord, aan de Eerste 
Kamer gerapporteerd. Die projectvoorstellen zijn inmiddels gereed en die 
zijn door VWS en de betrokken veldpartijen geaccordeerd. Daarover is dus 
overeenstemming bereikt. 

Het tweede punt hangt hiermee samen; het is een logisch gevolg daarvan 
voor de behandeling van dit wetsvoorstel. Ondanks de zojuist genoemde 
constructieve samenwerking met als doel een mogelijkheid voor 
gespecificeerde toestemming in de zorgpraktijk te implementeren, zijn de 
Minister en de veldpartijen het er ook over eens dat het vragen en 
registreren, van gespecificeerde toestemming op dit moment in de 
zorgpraktijk nog niet uitvoerbaar zijn. Dat staat ook in de nadere memorie 
van antwoord. Staatsrechtelijk gezien betekent dit volgens mij dat hier een 
wetsvoorstel voorligt dat niet uitvoerbaar is en dat daardoor niet 
handhaafbaar is. Dat geldt althans voor dit onderdeel. Om die reden 
hebben de KNMG en de LHV in januari van dit jaar in het licht van de 
wetgevende taak van de Eerste Kamer bepleit om de behandeling van dit 
wetsvoorstel uit te stellen totdat er door middel van de genoemde 
onderzoeksprojecten meer zekerheid bestaat over de uitvoerbaarheid van 
het wetsvoorstel op dit onderdeel. Wij verwachten dat dit in een periode 
van negen maanden tot twaalf maanden het geval zal zijn, dus dat die 
projecten daarover meer zekerheid zullen opleveren. 

Ik licht deze twee punten toe. Tijdens de behandeling van het wetsvoorstel 
door de Tweede Kamer is de inhoud van het amendement van het CDA 
over de gespecificeerde toestemming in het wetsvoorstel terechtge¬ 
komen. De Minister zegde toen in de Kamer toe in gesprek te gaan met 
het veld met als doel na te gaan wat een reële termijn is waarbinnen die 
elektronische uitwisselingssystemen technisch gereed konden zijn voor de 
gespecificeerde toestemming. Sinds die tijd werken we constructief 
samen en dat heeft geleid tot de projectvoorstellen over die gespecifi¬ 
ceerde toestemming. In eerste instantie is het de bedoeling dat bij 
huisartsen en apothekers - de KNMP en LHV zullen immers de trekkers 
van deze projecten zijn - wordt onderzocht in hoeverre het geven van die 
toestemming haalbaar en uitvoerbaar is. Het uiteindelijke resultaat zou 
moeten zijn dat er een centrale voorziening komt - alle partijen zijn het 
daarover eens - waarmee burgers zelf hun toestemming voor verschil¬ 
lende vormen van elektronische gegevensuitwisseling in de zorg kunnen 
beheren. KNMG en LHV vinden het belangrijk dat burgers die dat willen, 
daardoor meer de regie kunnen nemen over elektronische uitwisseling 
van hun gezondheidsgegevens. Daarbij komt dat dit de administratieve 
lasten voor de zorgverleners kan doen verminderen. Die zorgverleners 
hoeven immers niet steeds toestemming te vragen, te herhalen of de 
toestemming nog steeds geldt en de toestemming te registreren. Ik 
benadruk graag dat KNMG en LHV daaraan constructief meewerken in de 
praktijk. Maar staatsrechtelijk is het de taak van de Eerste Kamer om de 
kwaliteit van wetsvoorstellen te toetsen. Een feit is dat het vragen, het 
registreren en het naleven van gespecificeerde toestemming in de 
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zorgpraktijk op dit moment technisch en organisatorisch niet uitvoerbaar 
zijn. Ik denk dat de Eerste Kamer dat bij het toetsen van de kwaliteit van 
dit wetsvoorstel moet meewegen. Bovendien lijkt het wetsvoorstel in 
strijd met de Aanwijzingen voor de regelgeving, maar ik weet niet of de 
Eerste Kamer daar een boodschap aan heeft. Daarin staat dat er niet een 
regeling wordt voorgesteld of ontworpen voordat is nagegaan of er in 
voldoende mate handhaving te realiseren valt. Om die reden hebben wij 
eerder gepleit voor uitstel van behandeling. 

Uit recente rechtspraak blijkt bovendien dat van een elektronisch 
uitwisselingssysteem niet het onmogelijke mag worden verlangd. In het 
arrest van het gerechtshof Arnhem-Leeuwarden van 8 maart over het 
landelijk schakelpunt (LSP) staat dat van de VZVZ (Vereniging van 
Zorgaanbieders voor Zorgcommunicatie) verwacht mag worden dat de 
«alles of niets»-toestemming wordt vervangen door een systeem dat 
gebaseerd is op gespecificeerde toestemming, maar dat dient pas te 
gebeuren zodra dit technisch mogelijk en uitvoerbaar is. Je ziet dus dat er 
ook in de rechtspraak aandacht is voor de uitvoerbaarheid en de 
haalbaarheid daarvan. Waarom zou er dus haast moeten worden gemaakt 
met het aannemen van dit wetsvoorstel? Er zijn reeds voldoende 
veldnormen voor elektronische gegevensuitwisseling. Ik wijs op de 
Gedragscode Elektronische Gegevensuitwisseling in de Zorg (EGiZ) en de 
NHG-richtlijnen over gegevensuitwisseling tussen huisartsen en centrale 
huisartsenposten. Die zijn gebaseerd op geldende wet- en regelgeving en 
zijn voor de praktijk voldoende duidelijk. 

Mijn standpunt is dan ook: wacht met behandeling van het wetsvoorstel 
tot er meer zekerheid is over de uitvoerbaarheid van de eis van de 
gespecificeerde toestemming. Intussen doen wij, de veldpartijen, samen 
met VWS ons best om de gespecificeerde toestemming in de zorgpraktijk 
te realiseren. 

De voorzitter: Dank u wel. Ik geef het woord aan de heer Heldoorn vanuit 
het patiënten perspectief. 

De heer Heldoorn: Voorzitter. Goed dat u spreekt over het patiënten 
perspectief, al merk ik hierbij meteen op dat hét patiënten perspectief niet 
bestaat. Wij behartigen de belangen van enerzijds mensen die zeggen dat 
zij de complete controle willen over hun gegevens en dat zij het liefst zo 
min mogelijk digitale uitwisseling daarvan wensen in de zorg en ander¬ 
zijds van personen die ertegenaan lopen dat de dokter te weinig van ze 
weet. 

Ik concentreer mij vanmiddag op drie punten, te weten de gespecificeerde 
toestemming, het artikel dat patiënten het recht geeft op digitale inzage en 
een digitaal afschrift en het punt dat er niemand tussen wal en schip mag 
vallen. 

Ik kom op de gespecificeerde toestemming. Hoe nuttig die ook is, deze 
mag niet een doel op zichzelf worden. Het moet een middel zijn om 
patiënten een beter overzicht te geven van wat er met hun gegevens 
gebeurt en misschien ook van hoe het er wat hun gezondheidstoestand 
voor staat. Het moet een middel zijn om patiënten daarbij beter te 
betrekken. Heel veel van de gegevensuitwisselingen in de zorg vinden op 
dit moment plaats buiten de patiënt om. Deels is dat goed. Ik kan mij 
geheel vinden in het zojuist door mijn buurman genoemde voorbeeld. 
Patiënten gaan er terecht van uit dat zaken in de zorg voor hen geregeld 
zijn. Het gaat over meer zeggenschap, wat bijdraagt aan vertrouwen. Het 
middel moet bijdragen aan een betere gezondheid door betere zorg en 
betere informatieverstrekking aan patiënten. 

Ik ga in op het artikel dat ziet op digitale inzage en een digitaal afschrift. 

Dit middel biedt de mogelijkheid op een grotere betrokkenheid van 
patiënten. Wij vinden het dan ook jammer dat dit artikel pas over drie jaar 
in werking treedt. Dat vinden wij vooral jammer omdat er al heel goede 
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voorbeelden zijn van ziekenhuizen, huisartsen en apothekers die patiënten 
betrekken via portalen of apps. Dit draagt bij aan vertrouwen en inzicht. 
Patiënten weten dan immers beter over welke gegevens de dokter 
beschikt en welke hij uitwisselt. Tevens draagt dit bij aan betrokkenheid en 
betere zorg. Patiënten gaan immers meekijken. Uit recent onderzoek blijkt 
dat, als patiënten kunnen beschikken over een medicatieoverzicht, zij dit 
kunnen aanvullen of corrigeren. Het is bijvoorbeeld mogelijk dat de 
patiënt bepaalde medicijnen niet meer gebruikt maar dat de apotheker 
daarvan nog niet op de hoogte is. Zodoende kun je samen met zorgver¬ 
leners de zorg beter maken. 

Vandaag de dag zijn er al patiënten, bijvoorbeeld van UMC St Radboud of 
van het UMC Utrecht, die daarvan kunnen profiteren. Ik zou het jammer 
vinden als de ontwikkeling tot stilstand komt als gevolg van uitstel van 
inwerkingtreding van dit artikel gedurende drie jaar. 

Mijn laatste punt is dat niemand tussen wal en schip mag vallen. Het 
alternatief dat ik daarbij heb gezet, is: toestemming of vitaal belang. Er 
wordt met dit wetsvoorstel krachtig gefocust op de zelfbewuste patiënt 
die goed in staat is om bewust en goed geïnformeerd keuzes te maken en 
die tot op zekere hoogte inzicht heeft in zijn medische situatie. Er is in de 
zorg echter ook een andere werkelijkheid: er zijn genoeg mensen die dat 
niet kunnen. Uit een Motivaction-onderzoek blijkt dat iets minder dan de 
helft van de Nederlandse zorgconsumenten onder de categorie «minder 
zelfredzaam» valt. Onder die groep valt ook de groep zeer kwetsbare 
patiënten; mensen die er terecht van uitgaan dat de dokter of een andere 
zorgverlener datgene doet wat in hun belang is of wat goed is. Daar hoort 
het nemen van verantwoordelijkheid bij voor elektronische gegevensuit¬ 
wisseling. Het probleem is echter dat de ICT-systemen nogal zwart-wit 
zijn: wel toestemming of geen toestemming. Die eenzijdige focus op 
geïnformeerd kiezen of op de gevaren van het uitwisselen van medische 
gegevens kan ongewenste effecten hebben en risico's met zich brengen 
voor kwetsbare mensen. Toestemming is overigens ook niet de enige 
grond om medische gegevens door te geven. In de Wet bescherming 
persoonsgegevens (Wbp) staat ook de grond vitaal belang. Dat kan zijn 
een dringende medische noodzaak, wat te lezen is op de website van de 
Autoriteit Persoonsgegevens. Aangehaald wordt een situatie waarin 
iemand buiten bewustzijn is waardoor hij geen toestemming kan geven. 
Een andere mogelijkheid is dat iemand niet in staat is om toestemming te 
geven omdat hij minder zelfredzaam is. 

Ik sluit dan ook af met de vraag: hoe borgen we dat minder zelfredzame 
mensen niet de dupe kunnen worden en dat zorgverleners niet beperkt 
worden in het handelen in het vitaal belang van hun patiënten door een in 
het systeem ontbrekende toestemming? 

De voorzitter: Dank u wel. Ik geef het woord aan de heer Voest. Hij 
spreekt namens meerdere organisaties. Dat is misschien wat ingewik¬ 
kelder, maar ik neem aan dat dit hem wel is toevertrouwd. 

De heer Voest: Voorzitter. Ik spreek inderdaad namens BoZ (Brancheorga¬ 
nisaties Zorg). Ik ben internist-oncoloog in Antoni van Leeuwenhoek. Ik 
ben ook lid van de raad van bestuur, medisch directeur en ik ben 
onderzoeker. Misschien zit ik daarom wel hier. Ik kan immers grotendeels 
meevoelen met de wijze waarop deze wetgeving invloed kan hebben. 

De drie voorgaande sprekers hebben net uitstekend verwoord waar een 
aantal pijnpunten zit. Volgens mij is de kern van de vraag waar de 
fundamentele rechten van een individu op privacy kruisen met het 
fundamentele recht op optimale zorg. Ik denk dat die met elkaar op 
gespannen voet staan en ga proberen om dit toe te lichten aan de hand 
van een aantal voorbeelden uit onze praktijk. 

Allereerst praat ik over de impact die deze wetgeving zal hebben op de 
complexiteit van ons handelen. In toenemende mate praten we over 
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multidisciplinair werken, multidisciplinair overleg. Daarbij zijn heel grote 
groepen disciplines betrokken die bijdragen aan het op een eigen manier 
maken van het beste plan voor de patiënt. Dat alleen al goed coveren in 
wetgeving om te laten zien wie erbij betrokken zijn, betekent dat er sprake 
zal zijn van een enorme hoeveelheid extra werk. 

Het kan echter ook op kleinere niveaus, zoals het automatisch doorsturen 
van een e-mail naar een pacemakertechnicus omdat een patiënt geope¬ 
reerd wordt. Dat is enorm handig en enorm veilig, maar als dit vanwege 
de wetgeving op deze manier niet kan - e-mail is bijvoorbeeld een 
onveilig middel - kun je je voorstellen dat dit een rem zet op de kwaliteit 
van de zorg. Het bij elkaar kijken in gegevens - wij hebben een heel goede 
relatie met een ziekenhuis in de omgeving en intensivisten kunnen 
meekijken met onze zorg - kan dan niet meer een-twee-drie plaatsvinden. 
Deze voorbeelden geven aan hoe dokters in hun handelen, dat complex is, 
ernstig worden belemmerd. 

We praten over veiligheid. De zorg in Nederland is door registratie van 
kwaliteit en complicaties in handelen enorm veel beter geworden. Nu zijn 
er echter al terugtrekkende bewegingen te zien van mensen die zich 
afvragen: kan ik een en ander dan nog wel aanleveren? Heb ik daar wel 
toestemming voor en zo ja, welke consequenties heeft dit? Dit zet een 
enorme rem op het verder verbeteren van de zorg in het algemeen en van 
de oncologische zorg in het bijzonder. Juist omwille van de kwaliteit is 
herleidbaarheid naar instituut- en zelfs patiëntniveau belangrijk. Nu dat 
niet meer kan, terwijl dat een groot goed is van het leren, kan ik als 
bestuurder, als dokter en als onderzoeker niet goed inschatten hoe deze 
wetgeving ons daarbij specifiek gaat helpen. Dat is een kwaliteitsaspect. 

Ik kom op de innovatie. Wij proberen de zorg natuurlijk steeds beter te 
maken. Voor innovatie heb je ook behoefte aan het analyseren van 
groepen patiëntengegevens. Patiënten zijn het daar overigens van harte 
mee eens en zij willen daaraan heel graag meewerken. Maar hoe moet je 
daarmee omgaan als je zo meteen dit soort datasets wilt beoordelen om 
na te gaan waar mogelijkheden tot verbetering zijn? Welke rechten heb je? 
Hoe moet je een en ander vastleggen? Hoe moet je een en ander 
uitleggen aan patiënten? Dit alles is buitengewoon lastig. 

De heer Heldoorn heeft net al aangegeven dat we hier spreken over heel 
mondige patiënten die precies weten hoe en wat. Zij zijn echter niet 
degenen om wie het naar mijn idee gaat in relatie tot het fundamentele 
recht op privacy. We praten over die hele grote groep patiënten die zegt: 
dokter, ik wil graag goed geholpen worden en ga ervan uit dat u diegenen 
raadpleegt die daarbij kunnen helpen. Iedereen uitleggen op welk niveau 
wie toevallig nodig is, is een enorme taak. Voor patiënten is dan ook niet 
te zien aan wie er toestemming gegeven moet worden. Dat zijn puur 
dingen van de regelgeving. Je kunt je daarbij nog afvragen of dat 
zwaarder moet wegen. Als je echter spreekt over de handhaafbaarheid, 
zeg ik dat ik niet weet hoe we dit in «mijn» organisatie zouden moeten 
regelen: hoe kunnen we controleren wie er met wat bezig is en waarom, 
anders dan dat wij gewoon keurig netjes audits doen op systemen om na 
te gaan of er geen misbruik wordt gemaakt van gegevens. Het is echter 
een buitengewoon ingewikkelde zaak om van tevoren te kijken of het voor 
elke patiënt allemaal loopt. 

Tot slot noem ik de kosten die dit alles met zich brengt. Als we alles 
moeten regelen zoals het zich nu laat aanzien, moeten er enorme 
investeringen worden gedaan in ICT en in infrastructuur. Nog belangrijker 
is dat dit de dokter en de verpleegkundige van de patiënt afhoudt. Zij 
moeten immers eerst uitleggen hoe het systeem in elkaar zit. Dat is 
buitengewoon vervelend. 

Mevrouw de voorzitter, mijn conclusie is dat we de zorg vooral niet het 
stiefkind moeten laten worden van het privacybeleid. Ik hoop oprecht dat 
dit soort pijnpunten uit de wetgeving verwijderd kan worden. 
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De voorzitter: Ik geef het woord aan mevrouw Van Leeuwen van de 
Consumentenbond. 

Mevrouw Van Leeuwen: Voorzitter. De Consumentenbond heeft de 
laatste jaren een draai gemaakt naar meer met en voor de consument 
doen en minder in achterkamertjes doen. We willen graag kenbaar maken 
waarvoor we ons inzetten. Vandaar dat ik campagneleider ben in plaats 
van beleidsadviseur. De Consumentenbond houdt zich met heel veel 
onderwerpen bezig, onder andere met de zorg. Dat is niet bij iedereen 
bekend; wij moeten nog steeds aan mensen uitleggen dat wij niet slechts 
wasmachines testen maar dat wij ook op het gebied van de zorg het 
nodige doen. 

We zijn heel blij dat wij hier mogen zijn. Het is ook het uitgangspunt van 
de Consumentenbond dat hij graag wil inzetten op het uitwisselen van 
gegevens. Volgens mij wordt dat standpunt breed gedeeld. Vanuit het 
oogpunt van veiligheid en kwaliteit van zorg, met de huidige stand van de 
wetenschap en alles wat mogelijk is, moeten we er werk van maken om 
dit zo snel en zo goed mogelijk te regelen. De moeilijke vraag is echter 
hoe. We zitten hier om het daarover te hebben. Het gaat in dit geval 
immers om de meest privacygevoelige informatie die er over jou 
beschikbaar kan zijn. Het gaat ook om intieme informatie en bovenal om 
heel persoonlijke informatie. Daarom zijn zelfbeschikking en eigen regie 
voor de consument een heel groot goed. De regie over wat er met die 
gegevens gebeurt en wanneer, moet bij de consument liggen. Hij moet 
daar wetenschap van hebben en zijn keuzes kunnen maken. Dat zien wij in 
dit wetsvoorstel te weinig terug. In onze optiek is de oorzaak van dat 
probleem dat wordt voortgeborduurd op een systeem dat niet van dit 
principe uitgaat maar dat nadere invulling geeft aan de situatie die we nu 
kennen. Het uitgangspunt van zelfbeschikking in regie houdt in dat je weet 
en kunt kiezen welke informatie over jou gedeeld wordt, op welk moment 
en met wie. En op het moment dat je daarover moet beslissen, moet je 
natuurlijk in voldoende mate geïnformeerd zijn om te bepalen wie die 
informatie over jou in kan zien. Dat is in mijn ogen het moment waarop 
die informatie kan worden ingezien in plaats van het moment van 
beschikbaarstelling. Hoe weet iemand op het moment van beschikbaar¬ 
stelling immers wat in de toekomst nodig is om eenieder in te laten zien? 
Dat is een ingewikkelde manier om de regie te behouden. Op deze wijze is 
de regiefunctie niet ingevuld op de wijze zoals wij dat graag zouden zien. 

Jenny tot hier; 0.29.46, Dick vanaf hier. 

Een klein uitstapje naar een ideale wereld: iemand komt bij de huisarts en 
beheert helemaal zijn eigen dossier. Ik noem de huisarts, maar bedoel 
zorgaanbieders in de brede zin van het woord. Als een arts tegen een 
patiënt zegt dat het handig is om bepaalde gegevens in te zien, kan de 
patiënt daarvoor toestemming geven. Die informatie is verzameld op een 
plek waar er met toestemming van de patiënt naar kan worden gekeken. Is 
dit ideaalbeeld realistisch? Het is in ieder geval een mooi streven. Met dit 
in het achterhoofd is het makkelijk om te zeggen: daar voldoet dit 
wetsvoorstel onvoldoende aan. Maar we moeten bekijken hoe we met de 
regels die er zijn en het voorstel dat er ligt, in de beste richting kunnen 
bewegen. In het voorstel moet er daarom nog meer aandacht zijn voor het 
leggen van de regie bij de patiënt. In dat licht zijn drie elementen van 
belang. 

Ten eerste specifieke toestemming. In de ogen van de Consumentenbond 
is dat: precies weten wie wat wanneer beschikbaar stelt. Hoe specifieker 
gemaakt kan worden wat er gedeeld wordt, hoe meer stappen we in de 
goede richting zetten. Het moet duidelijker worden wie welke informatie 
kan inzien en benadrukt moet worden dat een patiënt dit zelf kan 
aangeven. Verder is de extra toestemming bij inzage mogelijk een goede 
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waarborg voor de onvolkomenheid van inzage geven voor een lange 
termijn. 

Ten tweede het patiëntenportaal. Ook dat is een goede stap. De patiënt 
kan daarmee zelf de regie voeren op wie wanneer inzage krijgt. Daar 
moeten we zo snel mogelijk naartoe bewegen; we moeten iets dergelijks 
ontwikkelen. Wel zijn er daarbij twee aandachtspunten. Allereerst is het 
enkel optuigen van zo'n systeem niet voldoende. De consument moet erin 
worden meegenomen, zodat hij het daadwerkelijk gaat gebruiken. Verder 
zijn drempels makkelijk opgeworpen in een patiëntenportaal. Dat zien we 
ook bij de mijnomgevingen en de verificatie. Daarvoor moet zeker 
aandacht zijn. 

Ten derde - daarmee sluit ik aan bij Marcel - de digitale inzage in het 
dossier. Die is zeer wenselijk. Ik ben een beetje verbaasd dat dit een uitstel 
van drie jaar behoeft. Als ik het goed heb, zijn er al enkele best practices 
van ziekenhuizen beschikbaar met inzage in een patiëntenportaal. Op deze 
manier kan de regie bij de consument worden gelegd, maar dat lukt niet 
zonder ze de goede tools te bieden. Er moet ergens worden begonnen. 
Kortom, ik vraag aandacht voor de regie van de patiënt in dit voorstel. 

De voorzitter: Dank u wel. Ik geef het woord aan de laatste spreker in dit 
eerste deel, de heer Tomesen. 

De heer Tomesen: Dank u wel. Het komt niet vaak voor dat de Autoriteit 
Persoonsgegevens - of eerder het College bescherming persoonsge¬ 
gevens - zonder veel omhaal niet negatief of zelfs positief is over een 
wetsvoorstel. Dat waren wij in dit geval, en kijk eens wat ervan komt. Er is 
van alles gebeurd. Ik heb al een expertbijeenkomst bijgewoond: dit is de 
tweede keer. Wat wij doen in gevallen als deze, is dat wij een voorstel 
afzetten tegen de Wet bescherming persoonsgegevens, en in dit geval ook 
de WGBO omdat daarin de grondslag ligt voor het uitwisselen van 
vertrouwelijke patiëntgegevens. Ik pak er drie dingen uit. 

De toestemming zoals die aanvankelijk in dit voorstel was neergelegd en 
alles wat eromheen zit, voldeed en voldoet wat ons betreft aan de Wbp. 
Het is eigenlijk heel eenvoudig: als je toestemming geeft, moet dat 
gebaseerd zijn op behoorlijke informatie. Je moet heel goed weten 
waarvoor je toestemming geeft. Het moet expliciet gaan om het 
gevraagde. Dit zit erin. Ik weet natuurlijk dat er ook sprake is van een 
gespecificeerde toestemming en dat vind ik geweldig. Laat ik heel 
duidelijk zijn; ik pak nu echt mijn rol als wetgevingsadviseur vanuit de 
Wbp. De gespecificeerde toestemming is een politieke keuze die wij 
toejuichen. Maar als u mij zou vragen waar het echt om gaat, dan zou de 
generieke toestemming al kunnen volstaan. Ik zeg dus niet: u moet het 
vooral niet doen. Ik juich het toe, maar geef ook even mijn strikte 
benadering aan. 

Hetzelfde geldt voor de elektronische inzage als patiënt, het toestem- 
mingsprofiel. Op basis van de wetgeving - dat wordt niet anders als er 
straks Europese regelgeving komt - heb je die mogelijkheden. Als dit 
wordt uitgewerkt, dan juich ik dat toe. Ik ben nu een aantal jaren bij de 
Autoriteit werkzaam. Voor mij is het wezenlijk dat mensen geïnformeerd 
worden over wat er met hun gegevens gebeurt en dat men er zeggen¬ 
schap over heeft. In de kern staat dat hierin. Het meerdere, waarvan de 
Minister zich afvraagt of we dat nu moeten doen dan wel even moeten 
wachten, juich ik toe. Als ik het goed begrijp, zeggen de Minister en de 
branche: luister even, dit gaat te ver, we kunnen dit nu niet doen. Ik heb 
daar geen opvattingen over. Wat ik ongelooflijk wezenlijk vind, is dat als 
het gebeurt, die gespecificeerde toestemming en elektronische inzage, het 
behoorlijk wordt beveiligd. Het College, en later de Autoriteit, heeft de 
afgelopen jaren heel veel aandacht besteed aan de beveiliging van dit 
soort gegevens. Dat is niet voor niets. We krijgen er heel veel signalen 
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over en hebben nogal wat kritische geluiden laten horen. Wat er ook 
gebeurt, die beveiliging is ongelooflijk wezenlijk. 

Een ander punt dat ik wil maken, naar aanleiding van en over dit voorstel, 
zijn de normen die ermee worden gesteld in combinatie met de AMvB: de 
NEN-normen. Het is ongelooflijk ingewikkeld, maar het komt erop neer 
dat er basale technische eisen worden gesteld aan de manier waarop je 
gegevens uitwerkt. Vanuit mijn gezichtspunt is dat op dit moment de 
belangrijkste winst van dit voorstel. Landelijk is er van alles geregeld, 
maar elk systeem is zo sterk als de zwakste schakel; om maar eens een 
ongelooflijk open deur in te trappen. Dat er overall een norm gaat gelden, 
is buitengewoon wezenlijk. 

Ik vat het nog maar even heel kort samen. Ik vond en vind dat wat nu is 
voorgelegd, voor een belangrijk deel beantwoordt aan de eisen uit de 
Wbp en de WGBO. Voor ons zit de grote winst op korte termijn in het 
onderstrepen en algemeen geldend maken van de beveiligingsnorm, de 
elektronische inzage en de gespecificeerde toestemming. Ook dat laatste 
juich ik toe, maar het is een politieke keuze. Wat er al lag, voldeed aan de 
Wbp en de WGBO. Dat is ook onze aanvankelijke inzet geweest. 

Ik ben binnen het belletje gebleven! 

De voorzitter: Dat is heel bijzonder. Dank u wel. Even de glazen vullen en 
dan gaan we over naar de vragenronde van de woordvoerders van onze 
commissie. 

De heer Ganzevoort (GroenLinks): We horen zelden vanuit verschillende 
gezichtspunten over het hoe en wat. De belangrijkste vraag in dit gesprek 
is voor mij nu niet wat wij overall van de wet vinden, want daarover 
hebben we al eerder informatie gekregen. Het gaat veel meer over wat de 
rompwet, als die wordt aangenomen, betekent in verhouding tot de totale 
wet. De heer Tomesen is daarop wat uitgebreider ingegaan. Dat geldt ook 
voor de heer Heldoorn, die er van een andere kant naar kijkt: het uitstel 
van delen van het wetsvoorstel zouden we niet moeten willen. Ik probeer 
het scherp te krijgen. Wat overblijft en nu in werking gaat treden, geeft 
minder rechten aan patiënten dan de totale wet. Als ik het goed begrepen 
heb, zegt ook de heer Tomesen dat. Van een aantal van u heb ik daar 
echter nog niets over gehoord. Hoe beoordeelt u het direct in werking 
tredende deel van de wet, los van delen die nu zijn uitgesteld? Ik vraag 
met name de heer Smals en de heer Voest om daar nog kort iets over te 
zeggen. 

De heer Smals: Stukken van de wet treden niet in werking, omdat men tot 
de conclusie is gekomen dat de wet anders niet of moeilijk uitvoerbaar is. 
Het doet er dus niet zozeer toe of ik dat sympathiek vind. Er is dan direct 
een probleem omdat het gewoon in de praktijk niet kan. Als ik bijvoor¬ 
beeld de toestemming vooraf voor het opvragen nu zou moeten invoeren 
in mijn apotheek, dan heb ik morgen een rij staan tot aan de overkant van 
de straat, omdat het niet kan. Volgens mij is dat het antwoord op uw 
vraag, of niet? 

Mevrouw IMooren (PvdA): De vraag was andersom bedoeld: is wat er wel 
wordt ingevoerd, waardevol? 

De heer Smals: Sorry, natuurlijk. Andersom: waarom moet het wel 
worden ingevoerd? Dat vinden wij nu, met natuurlijk die uitzondering. 
Zorg ervoor dat wat er nu wel wordt ingevoerd, richting geeft aan de 
manier waarop we het moeten inrichten. Er moet druk op ketel worden 
gehouden voor de mensen die het moeten invoeren, zoals bij de 
softwarehuizen. Ik heb zelf ook heel veel wensen voor het software- 
systeem dat ik in mijn apotheek gebruik, maar als ik niet heel hard op de 
trom sla, gebeurt er helemaal niks. Ik ben oprecht bang - de ervaring leert 


Eerste Kamer, vergaderjaar 2015-2016, 33 509, L 


10 


dat - dat het in dit geval precies hetzelfde gaat. Als u het zou uitstellen, 
dan zitten we hier volgend jaar weer bij een deskundigenbijeenkomst en 
zijn we geen steek verder gekomen. 

De heer Voest: Ik heb hieraan niet zo heel veel toe te voegen. Het ging mij 
- dat is de reden dat ik hier zit - vooral om de pijnpunten in het systeem. 
Daarop ben ik specifiek ingegaan. Uiteindelijk wil je een systeem dat de 
zorgen kan handelen. Zoals mijn voorganger al zei: als je die punten nu 
zou invoeren, geeft dat een enorm probleem. Over de grote lijnen zal 
iedereen het eens zijn: inzicht hebben in je gegevens en weten wat ermee 
gebeurt. Dat is prima, maar laat ik een heel concreet voorbeeld geven. 
Patiënten vinden in toenemende mate mijn e-mailadres en dat van mijn 
collega's. Vervolgens sturen ze een bericht met wat er aan de hand is en 
maken daar wat documenten aan vast. Het is heel gemakkelijk om dan 
even snel te reageren; patiënten stellen dat ook enorm op prijs. Dat kan 
dan echter niet meer, want ik ben op een onbeveiligde lijn aan het werken. 
Ik ben al fout bezig op het moment dat ik reply. Dit soort details leiden af 
van de grote lijnen, want ze zorgen ervoor dat het bestuurlijk en organisa¬ 
torisch aftikken van dit soort wetgeving complex is. Het overschaduwt het 
algemene idee dat een patiënt inzicht moeten hebben in zijn gegevens en 
moet weten wat ermee gebeurt. 

De heer Ganzevoort (Groenünks): Die kritiek gaat over de hele wet. 

De heer Voest: Ja, het gaat over de hele wet. 

Mevrouw Nooren (PvdA): U zegt als vertegenwoordiger van de 
apothekers eigenlijk: voer de rompwet in want dat geeft richting aan het 
veld en houd pilots voor de detaillering en om te bezien hoe de gespecifi¬ 
ceerde toestemming en het inzagerecht moeten worden geregeld. De BoZ 
is van mening - ik stel het even scherp - dat het geen meerwaarde heeft 
om de wet nu in te voeren. 

De heer Voest: Dat vind ik ingewikkeld. Ik voel me enigszins gehandicapt 
omdat ik opeens wordt gevraagd om te reflecteren over een aantal 
specifieke thema's waarover de BoZ zich zorgen maakt. Ik zou niet voor 
mijn rekening willen nemen om namens de BoZ de hele wet af te wijzen. 

De voorzitter: Maar wat vindt u zelf? 

De heer Voest: In algemene termen vind ik het belangrijk dat je als patiënt 
toegang hebt tot je gegevens en weet wat ermee gebeurt, maar daar kan 
niemand het mee oneens zijn. De vraag is wel wat het realiteitsgehalte is. 
Als iemand hoort dat hij kanker heeft, is het eerste wat hij doet googelen. 
Google weet precies wie er vanuit welke URL aan het googelen is en kan 
dus identificeren wie er kanker heeft. De patiënt weet ook niet wat dat 
soort dingen betekent. De vraag is dan: wat is het realiteitsgehalte? Maar 
goed, dit mocht ik op persoonlijke titel zeggen. 

Mevrouw Nooren (PvdA): De Autoriteit Persoonsgegevens zegt: de wet 
nu wel invoeren, werkt normerend voor het gehele veld via de 
NEN-normen. Heeft de BoZ daarover een opvatting? Het lijkt me toch wel 
handig om dat te weten. 

De heer Voest: Dat is dan even mijn beperking. Ik kan u het antwoord 
schriftelijk doen toekomen. 

De heer Bruijn (VVD): Ik heb een vraag aan de heer Tomesen. U noemde 
drie dingen: het algemeen maken van de norm, de elektronische inzage en 
de gespecificeerde toestemming. Dat laatste stuk wordt uitgesteld, althans 
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in het voorstel zoals het er nu ligt. Hoe noodzakelijk is het dat die 
NEN-normen nu algemeen gemaakt worden en dat elektronische inzage 
wordt geregeld? Wat gebeurt er als we dat niet doen? 

De heer Ganzevoort (GroenLinks): De inzage wordt ook uitgesteld. 

De heer Tomesen: Hoe noodzakelijk is het? Het leven is soms vrij 
overzichtelijk. Dit soort gegevens zijn gevoelig van aard - dat heeft de 
Consumentenbond voortreffelijk verteld - en dienen daarom optimaal 
beschermd te worden. Die verplichting staat ook in de wet. Het is al 
technisch uitgewerkt in NEN-normen. Wij komen dan langs bij de zorg als 
het zo uitkomt en zeggen: u doet het niet goed genoeg. De NEN-norm 
naleven is een aanwijzing dat het voldoende gebeurt. De meerwaarde van 
NEN-normen is dat we weten waarop we elkaar toetsen. Iedereen, of het 
nou gaat om regionale of landelijke uitwisseling, moet dezelfde hoge 
normen hanteren. Dat is voor mij de winst. Mijn antwoord is voortdurend 
een beetje dubbel, omdat ik - dat moet u mij maar vergeven - terugval op 
de wet. Artikel 13 van de Wbp zegt: je moet gewoon adequaat beveiligen. 
Dat is uitgewerkt in die NEN-norm. Vanuit mijn positie bezien is het 
waardevol als de zorgwereld met elkaar zegt: laten we die norm gaan 
hanteren. Dat is mijn beste antwoord. Daarin zit ook de winst van dit 
voorstel en de bijbehorende AMvB. 

De voorzitter: Zijn er nog andere vragen? 

De heer Ganzevoort (GroenLinks): Ik wil hierop nog heel eventjes 
doorgaan. Als ik het goed begrijp - de heer Voest heeft dat heel scherp 
weergegeven - gaat het om de kruising van enerzijds het recht op privacy, 
de patiëntenrechten in brede zin, en anderzijds het recht op goede zorg. 
Vanuit de verschillende perspectieven hoor ik verschillende geluiden. De 
NPCF en de Consumentenbond vinden, als ik het goed begrijp, dat de 
uitgeklede wet te weinig regelt voor de bijzondere cliëntenrechten, zoals 
de inzage. De heer Tomesen zegt: dat is het toetje, het zou mooi zijn als 
het ook geregeld was, maar ook zonder is het goed. Vanuit de zorg zegt 
men: juist vanwege de noodzaak van de uitwisseling willen we verder met 
de ontwikkeling, ook als het nog niet lukt om de patiëntenrechten nog een 
stapje verder te borgen. Zo hoor ik de verschillende perspectieven. Wij 
moeten wegen hoe we daarmee omgaan. 

Mevrouw IMooren (PvdA): Er is een soort dilemma: goede zorg en 
daarvoor noodzakelijk gegevensuitwisseling versus gespecificeerde 
toestemming vooraf, al dan niet aan groepen. Geven de pilots daarover 
helderheid? Wij kennen de lopende pilots natuurlijk niet. 

De heer Nouwt: Nee, in die pilots wordt onderzocht in hoeverre het 
mogelijk is om in praktijken van huisartsen en apothekers met gespecifi¬ 
ceerde toestemming te werken. Hoe organiseer je dat en hoe regel je dat 
technisch? Is het voor artsen en apothekers duidelijk wat ze moeten 
vragen aan patiënten? Is het voor patiënten duidelijk wat er van ze 
gevraagd wordt? Wat wordt bedoeld met «gespecificeerde 
toestemming»? Dan gaat het bijvoorbeeld om de vraag wie de huisartsge¬ 
gevens mag inzien: wel op de huisartsenpost maar niet door de ambulan¬ 
cebroeder? Die projecten gaan over het maken van keuzes daarin. Hoe 
kunnen we het technisch en organisatorisch zo regelen dat het voor 
patiënten en artsen duidelijk is wat het inhoudt en dat het technisch 
werkt? De bedoeling is dat er over negen tot twaalf maanden duidelijkheid 
is over of het kan worden ingebouwd in de procedures, de spreekkamer 
en de informatiesystemen. Uiteindelijk moet er een centrale voorziening 
komen voor alle burgers, waar men met een elektronische identiteit met 
een veilige authenticatie - beter dan DigiD - kan inloggen en zelf kan 
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beheren waarvoor men wel of geen toestemming geeft. Dit neemt 
natuurlijk een enorme administratieve last weg bij het veld, de huisartsen 
en de apothekers. De systemen moeten zo werken dat die centrale 
voorziening stuurt welke sluizen wel of niet open worden gezet. Daar 
moeten we naartoe. Wij verwachten met zijn allen binnen negen tot twaalf 
maanden zekerheid te hebben over of het mogelijk is. Op dit moment 
weten we zeker dat het nog niet kan, dus laten we wachten tot we het 
zeker weten. Laten we nu niet iets vastleggen waarvan we weten dat het 
niet uitvoerbaar is. 

De heer Bruijn (VVD): Het wetsvoorstel voldoet aan wat u zegt als je dit 
onderdeel uitstelt, even los van hoelang. De vraag die dan terugkomt en 
die de heer Ganzevoort ook stelde, is: moet wat er overblijft aan rompwet- 
geving wel of niet worden ingevoerd? Daarover verschillen de meningen 
wel een beetje, met name tussen de twee sprekers op de flanken en 
sommige sprekers die meer centraal zitten in het rijtje. Volgens sommigen 
van u zijn er in ieder geval wel redenen om het rompwetsvoorstel nu vast 
in te voeren, en geen bezwaren om hetgeen wordt uitgesteld, uit te 
stellen. 

De heer Nouwt: Op zich is het een beetje onlogisch om een wet aan te 
nemen die niet uitvoerbaar is. 

De heer Bruijn (VVD): Het invoeren van die NEN-normen is toch 
uitvoerbaar? 

De heer Nouwt: Ja, maar onderdelen van de wet zijn niet uitvoerbaar. Als 
je de hele wet aanneemt, voer je ook onderdelen in die niet uitvoerbaar 
zijn. Dat is een beetje onlogisch. 

De heer Bruijn (VVD): Maar die onderdelen stellen we uit. 

De heer Nouwt: Maar je neemt ze wel aan. 

De heer Bruijn (VVD): U voorspelt dat ze over een jaar wel uitvoerbaar 
zijn? 


De heer Nouwt: Nee, dan is er zekerheid over of ze uitvoerbaar zijn en 
kun je de beslissing nemen. 

De heer Bruijn (VVD): U verwerpt dus de argumenten van anderen die 
zeggen dat het invoeren van NEN-normen nuttig is. Die kunnen worden 
toegepast op het al bestaande landelijk schakelpunt, waar 10.000 
patiënten in zitten. Er zijn ook andere vormen van elektronische uitwis¬ 
seling. U sluit zich dus niet aan bij de roep om daar normen aan te stellen 
en zegt: stel het maar uit. De KNMP zegt: we hebben druk op de ketel 
nodig. Daar ligt ons dilemma: is het noodzakelijk om het rompwets¬ 
voorstel in te voeren of is het beter om het hele wetsvoorstel uit te 
stellen? Het gaat nu niet meer over de onderdelen die sowieso worden 
uitgesteld, want daarin hebben we geen keuze. 

Mevrouw Gerkens (SP): Ik heb twee vragen, naar aanleiding van het 
debatje dat we net hadden. Wat gaat er mis als we deze wet nu niet 
invoeren? Welk groot probleem ontstaat er dan die het nu invoeren van de 
rompwetgeving nodig maakt? Mijnheer Nouwt zei net: over negen tot 
twaalf maanden is er meer helderheid over of we die gespecificeerde 
toestemming op een juiste manier kunnen realiseren. Is het denkbaar dat 
de conclusie wordt dat het nog heel veel jaren gaat duren voor we het 
überhaupt op een goede manier kunnen regelen? Zo ja, zou het niet beter 
zijn om dan pas wetgeving te maken, zodat we die specifiek kunnen 
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aanpassen aan de situatie op dat moment? Kortom, zitten we straks niet 
opgescheept met verkeerde wetgeving? 

De heer Nouwt: Over negen tot twaalf maanden is er meer zekerheid over 
of het haalbaar is. Het kan dat de conclusie dan is dat het niet haalbaar is 
op korte termijn. De consequentie is dan misschien dat je die gespecifi¬ 
ceerde toestemming niet moet invoeren. Als je daar nu al toe zou 
besluiten, heb je dat in feite al gedaan. Vandaar dat we zeggen: doe het in 
een andere volgorde. Dan is er geen man overboord, zoals ook de heer 
Tomesen zegt, want de reguliere toestemming die oorspronkelijk in het 
wetsvoorstel stond, voldoet ook aan de eisen. Die moet op basis van de 
wet ook in vrijheid en geïnformeerd gegeven worden en moet voldoende 
specifiek zijn. Je hebt die gespecificeerde toestemming misschien niet 
eens nodig. De wet kan worden aangenomen zonder dat je die gespecifi¬ 
ceerde toestemming invoert, als je weet dat die op korte termijn niet 
uitvoerbaar is. 

De heer Voest: Ik wil daar nog iets aan toevoegen. De vraag is heel 
belangrijk: wat gaat er fout als je het nu niet invoert? Volgens mij gaat er 
niet heel veel fout. Ik deel niet helemaal de mening van de heer Nouwt. 
Over twaalf maanden weten we hoe het eruitziet. Als het doel wordt om te 
komen tot een centraal systeem waarin een patiënt op elk moment kan 
aangeven wat hij wel of niet wil, is dat een zeer ernstige belemmering 
voor nieuwe ontwikkelingen in de zorg. Dit is wat anders dan het 
toestemming geven aan de patiënt om zijn gegeven te beheren of in te 
zien. Bij elk kwaliteitskeurmerk moet je dan opnieuw aan de patiënt 
vragen om de knoppen goed te zetten. Je vraagt enorm veel van patiënten 
als je van ze verwacht dat ze dat een-op-een doen. Daar zou ik een groot 
tegenstander van zijn. Ik weet de uitkomsten over negen tot twaalf 
maanden al. 

De heer Tomesen: De heer Bruijn vatte mij het beste samen, maar ik heb 
toch de behoefte om het zelf nog een keer te zeggen. Wat gaat er mis als 
het niet gebeurt? Zeker, de wet zegt dat gegevens adequaat moeten 
worden beveiligd. Op zichzelf staat het er dus in, maar de normstelling die 
uit deze wet voortvloeit, heeft nadrukkelijk meerwaarde. De heer 
Ganzevoort laat mij zeggen dat de rest een toetje is, maar daarmee doet 
hij mij tekort. Het heeft wel degelijk meerwaarde, maar ik heb het 
benaderd als wetgevingsadviseur en gezegd: het staat allemaal in de wet. 

De heer Ganzevoort (GroenLinks): Ja, u was positiever. 

De heer Tomesen: Er moet mij nog iets anders van het hart. Wij doen 
heel veel onderzoek en krijgen heel veel signalen van patiënten en artsen 
over lijnen die worden gebruikt, herhaalrecepten, regionale uitwisselings- 
systemen en patiëntgegevens in zorginstellingen. Ik leg dit toch maar 
even op tafel, dan ben ik het maar kwijt; het begon me dwars te zitten. De 
zorg moet zich niet het stiefkind van het privacybeleid voelen. De omgang 
met persoonsgegevens moet integraal onderdeel zijn van patiëntenzorg in 
ziekenhuizen, bij huisartsen en bij apothekers. Als dat niet zo blijkt te zijn, 
is het vastleggen van een NEN-norm geen kwestie van toegevoegde 
waarde maar is het noodzakelijk. De wetgever moet dan nog eens heel 
goed zeggen: dit is de norm. 

Mevrouw Bredenoord (D66): Ik wil nog even doorvragen op dat centrale 
systeem. Wat bedoelt u daar precies mee en bedoelen we allemaal 
hetzelfde? Wat zit er in dat centrale systeem? Zitten de toegangsgegevens 
erin, de wijze waarop mensen kunnen inloggen? Is het dan toch een soort 
centraal epd - we mogen het niet meer zo noemen - of bedoelt u iets 
anders? Het is goed om dit scherp te krijgen. 
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De heer Heldoorn: De patiënt moet verschillende keren toestemming 
geven, zoals bij verschillende apothekers of de huisarts. De gespecifi¬ 
ceerde toestemming in het wetsvoorstel zorgt ervoor dat de toestemming 
heel erg wordt versnipperd, waardoor de patiënt geen overzicht meer 
heeft. Waarvoor en aan wie heb ik ooit toestemming gegeven? De 
toestemming zou je daarom niet bij de zorgverlener maar bij de patiënt 
moeten vastleggen. Als men in de zorg gegevens nodig heeft, kan men 
dan zien of een patiënt iets heeft bepaald over die uitwisseling. 

Vervolgens gaat het licht op groen, of niet. Dat is het idee, maar ik ben 
niet zo technisch dat ik precies kan verzinnen hoe dat moet gebeuren. Het 
moet werkbaar zijn in de praktijk en heel begrijpelijk en overzichtelijk voor 
patiënten. 

Mevrouw Nooren (PvdA): Dit lijkt op het landelijk schakelpunt. De cliënt 
moet zelf toestemming geven. Die cliënt gaat langs bij de huisarts, de 
reumatoloog, de apotheek en misschien wordt hij ook nog even 
opgenomen in het verpleeghuis. Al die organisaties hebben informatie en 
hebben elkaar ook nodig. Daar gaat het wetsvoorstel uiteindelijk over. 
Beheert iemand het totaal, of leg je met je DigiMV vast welke categorieën 
hulpverleners gegevens uitwisselen? Ik probeer te zoeken wat u wilt 
bouwen. Wat is het perspectief? 

Mevrouw Bredenoord (D66): Ik heb er ook nog onvoldoende grip op. 

De heer Nouwt: Het wetsvoorstel gaat niet over pushberichten, zoals het 
versturen van e-mail. Het gaan alleen om pullverkeer, toestemming voor 
het elektronisch beschikbaar stellen van gegevens uit medische dossiers 
voor raadpleging in de toekomst door andere zorgaanbieders. De 
toestemmingseis gaat dus niet over pushverkeer. 

De voorzitter: In de memorie van antwoord staat inderdaad dat de 
wetgeving alleen betrekking heeft op pull, het mogen raadplegen van 
bepaalde gegevens. 

De heer Bruijn (VVD): Bij de normen gaat het ook over push. 

De heer Nouwt: Het is niet zo dat het hele wetsvoorstel alleen over 
pullverkeer gaat, want het gaat ook over digitale inzagerechten en het 
vastleggen van logging, en dat staat los van pull- of pushverkeer. De 
toestemmingseis heeft alleen betrekking op pullsystemen. Je kunt nu ook 
via ikgeeftoestemming.nl toestemming geven voor het LSP. Er worden 
buiten het LSP om ook regionaal gegevens uitgewisseld tussen huisartsen 
en huisartsenposten, ziekenhuizen en laboratoria. Dat zijn allemaal 
elektronische uitwisselingssystemen waarop deze wet van toepassing is. 
Voor dat soort toepassingen en dat soort uitwisselingssystemen moeten 
de patiënten toestemming geven. Om te voorkomen dat de patiënt bij 
iedereen afzonderlijk langs moet gaan, zou hij dat zelf moeten kunnen 
doen, bijvoorbeeld op de manier die wordt gebruikt bij ikgeeftoestem- 
ming.nl. Dat is het idee. 

De heer Smals: Ik begon met een voorbeeld. Er komt een patiënt in de 
apotheek die in een andere apotheek wat heeft gehaald en die bij mij al 
een keer heeft aangegeven het goed te vinden dat zijn medicatiegegevens 
worden uitgewisseld. Die patiënt gaat er dan vanuit dat zijn medicatiege¬ 
gevens al worden uitgewisseld. De medicatiegegevens die bij een andere 
apotheek liggen, worden namelijk niet uitgewisseld. Naar mijn idee zou je 
centraal moeten kunnen aangeven dat al je medicatiegegevens uitge¬ 
wisseld mogen worden, met uitzondering van bijvoorbeeld de gegevens 
van die of die apotheek. Dat moet dus in de plaats komen van de huidige 
situatie, waarbij je het voor elke apotheek apart moet aangeven. 
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De voorzitter: Zijn er nog andere vragen? 

Mevrouw Bredenoord (D66): Hoe zit het dan met de beveiliging van een 
dergelijke centrale toegang? Wellicht kan deze vraag ook worden 
meegenomen naar de volgende ronde, deel 2. 

De heer Bruijn (VVD): Dat hoort inderdaad bij deel 2. 

Mevrouw IMooren (PvdA): Ik zie een soort tweespalt. De mensen in de 
zorg willen liever uitstel van het wetsvoorstel, totdat ze zeker weten dat de 
gespecifieerde toestemming uitvoerbaar is. Eigenlijk zeggen die zorgver¬ 
leners: voor mijn werk zou gespecificeerde toestemming heel ingewikkeld 
worden. De consumentenorganisaties zeggen daarentegen: het 
wetsvoorstel heeft voor ons pas meerwaarde op het moment dat 
gespecificeerde toestemming mogelijk is. Ik zou van de consumentenor¬ 
ganisaties daarom hun opvatting willen horen over een wetsvoorstel dat 
geen gespecificeerde toestemming kent maar dat daarop wel perspectief 
biedt. Dat is eigenlijk de kern van het wetsvoorstel, aangezien dat de 
basisassumptie is. Nu invoeren versus het wetsvoorstel niet invoeren is 
eigenlijk de kwestie die aan de orde is. Het is me nog niet helemaal 
duidelijk hoe de Consumentenbond en de Patiëntenfederatie NPCF hier 
tegenover staan. 

Mevrouw Van Leeuwen: Het belangrijkste antwoord daarop is dat wij 
ons niet senang voelen bij dit wetsvoorstel. Wij hebben het idee dat 
voortborduren op het geven van toestemming op het moment van ter 
beschikking stellen, niet past bij onze ideale wereld. Ik vind het in die zin 
ook moeilijk om te zeggen «wij zijn voorstander van het invoeren van een 
dergelijk systeem», want wij zouden graag een heel ander systeem zien, 
met een rompwet en verdere verbreding. Ik denk dat de meerwaarde van 
aanvullingen, het meer specifiek maken en het uitbreiden van de regie, zit 
in de invoering van extra elementen. Ik zeg dat met als kanttekening dat 
we binnen de wettelijke waarborgen moeten blijven waarover we nu 
spreken. 

De voorzitter: Als dat helder is, zijn we bijna aan het einde gekomen van 
deze ronde. Ik zie dat ook de heer Heldoorn en de heer Bruijn de vraag 
willen beantwoorden. 

De heer Heldoorn: De invoering van de rompwet heeft wat mij betreft 
meerwaarde omdat het duidelijkheid biedt. Dat geldt ook voor de artikelen 
die nu worden uitgesteld, want je weet daardoor wel waar je de komende 
jaren naartoe gaat. Verder is duidelijk gemaakt dat dit het is. Op dit 
moment wordt er naar mijn idee vooral veel gewacht in het veld. Mensen 
denken: de wet hangt nog en daarom moeten we nog maar even 
afwachten. Hoe langer de wet wordt uitgesteld, hoe langer er wordt 
gewacht. Door het zo te doen geef je dus wel op de een of andere manier 
duidelijkheid. 

Het is nodig dat de gespecificeerde toestemming wordt uitgesteld, want 
het is lastig, ook al brengt het in the end wel meer zeggenschap. Het 
wordt voor bepaalde categorieën patiënten ook lastiger. Een deel van mijn 
achterban zal zeggen: zoals we het nu in de wet hebben geregeld, is goed 
genoeg. Dat sluit aan bij wat de heer Tomesen al zei. Een ander deel zal 
zeggen: het mag wel een tandje strakker. Dat is het spanningsveld. 

Het recht op inzage en afschrift is een beweging die wij van harte steunen. 
Wij betreuren het daarom dat het voorlopig wordt uitgesteld. Daarbij komt 
dat de ontwikkelingen zeker doorgaan, of je het nu wel of niet in werking 
laat treden of dat je het drie jaar uitstelt. Misschien zou je daarom moeten 
zeggen: stel het niet uit, maar handhaaf niet meteen heel strak, om het zo 
maar te zeggen. 
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De voorzitter: Er liggen nog twee vragen. 

De heer Bruijn (VVD): Laat ik nog iets zeggen over een vraag waarop een 
kort antwoord mogelijk is. Ten tijde van de behandeling van het epd is er 
ook gesproken over het alternatief dat een patiënt zelf een geheugenstick 
meeneemt om daar alles op te zetten. Is dat een realistisch alternatief of 
moeten we daar maar geen aandacht aan besteden? 

De heer Smals: Volgens mij is dat niet realistisch. Je verleent namelijk 
heel veel zorg als de patiënt niet aanwezig is. Ik doe medication reviews 
met de huisarts. Een heel groot deel van het werk dat je daarvoor moet 
doen, doe je samen met de huisarts, zonder dat de patiënt erbij is. 
Vervolgens haal je de patiënt er weer bij, enzovoort. Je doet het met zijn 
drieën, maar als altijd die stick aanwezig zou moeten zijn, gaan we echt 
een heel eind terug in de tijd. 

Mevrouw Bredenoord (D66): Nog een vraag aan mevrouw Van Leeuwen. 
U zei: in een ideale wereld zouden we een heel ander systeem voorstellen. 
Is dat een systeem met specifieke toestemming, waarbij de patiënt niet 
eenmalig maar elke keer toestemming moet geven? 

Mevrouw Van Leeuwen: Vooral het moment zou idealiter anders moeten 
zijn. Het goede moment is niet het moment waarop je vraagt of je het ter 
beschikking mag stellen, want dat vermindert de regie op het inzien. Het 
goede moment is het moment waarop iemand de gegevens wil inzien en 
dat is moeilijk in te passen in het voorstel. Hoe het er precies uit zou 
moeten zien, vind ik moeilijk te verwoorden. We kijken nu naar wat er 
onder de huidige regels en bij het voorstel mogelijk is om de privacy zo 
goed mogelijk te waarborgen. Het is heel belangrijk om daarnaar te kijken. 
In een ideale wereld zou ik het mooier vinden om niet de vraag te moeten 
stellen of ik het ter beschikking mag stellen. In plaats daarvan zou het 
mogelijk moeten zijn om te zien wanneer iemand het wil inzien. Dan weet 
ik namelijk dat het over mijn fysiotherapeut gaat, die het belangrijk vindt 
om de informatie in te zien die mijn orthopeed twee maanden geleden 
heeft opgenomen. 

Mevrouw Bredenoord (D66): Reageer dan eens op het verhaal van je 
buurman die zegt: ik ben oncoloog en ik moet overleggen met een 
deskundige in het lab. Ik vraag dat, omdat ik een beeld wil hebben van 
hoe dat gaat. Moet die oncoloog dan gaan bellen? 

De voorzitter: Ik geef het woord aan de heer Voest. Ik weet dat het een 
vraag was, maar het was wel een vraag over de praktijk en ik moet nu 
eenmaal op de tijd letten. Ik beluister wat protest. Als mevrouw Van 
Leeuwen heel kort kan reageren op de vraag hoe het er in de praktijk uit 
moet gaan zien, geef ik haar nogmaals het woord. 

Mevrouw Van Leeuwen: Ik vind het moeilijk om hierop te reageren. Ik 
heb namelijk nog geen uitgewerkt beeld van hoe het wel zou moeten. We 
zitten nu vast aan de bestaande regels, maar ik denk dat er mogelijkheden 
zijn om het op het moment van inzien in te zien. Als het daarbij gaat om 
overleg tussen artsen, is er nog steeds toestemming van de consument 
nodig. 

De heer Bruijn (VVD): Iedere keer? 

De voorzitter: Oké. U zegt eigenlijk: ik weet het nog niet, maar ik ben 
bereid om daarover een keer... Mocht u wat bedenken, aarzel dan niet om 
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het ons toe te zenden. Met het oog op de tijd moet ik u echt onderbreken. 
We zitten krap in de tijd en ik moet nu tot slot de heer Voest het woord 
geven. 

De heer Voest: Ik heb geleerd om niet altijd primair te reageren, maar ik 
wil toch even op de vraag van de heer Tomesen ingaan. Laat het heel 
duidelijk zijn dat de zorg privacy ontzettend belangrijk vindt. De reden 
waarom ik het «het stiefkind» noemde, is dat het risico heel groot is datje 
wetgeving invoert die niet handhaafbaar is, enorm veel tijd wegneemt van 
de zorgverleners en innovatie en kwaliteit van zorg in de weg staat, als je 
kiest voor het geven van gespecificeerde toestemming. Ik vraag dit forum 
om daarover heel goed na te denken. Dat staat los van de vraag of 
zorginstellingen al dan niet heel zorgvuldig met privacy omgaan, want het 
heeft ook met de uitvoerbaarheid te maken. 

De voorzitter: Helder. 

Ik sluit dit deel af. We hebben nu een kleine break van vijf minuten. 

De vergadering wordt enkele minuten geschorst. 

Thema 2: Veiligheid en techniek 

De voorzitter: Ik stel voor dat we op dezelfde manier doorgaan. Ik geef u 
vijf minuten en na afloop daarvan hoort u dat inmiddels vertrouwde 
«tingeltje». 

Ik geef als eerste het woord aan de heer Verheul uit Nijmegen. 

De heer Verheul: Goedemiddag. Dank dat ik de kans krijg om over dit 
wetsvoorstel te spreken. Er is al gesproken over de gespecificeerde 
toestemming. Ik wil van mijn vijf minuten gebruikmaken door twee 
punten te bespreken, die wat mij betreft onderbelicht zijn in het 
wetsvoorstel. Dat hangt ook samen met de vraag die aan het einde van 
het vorige blok werd gesteld over de beveiliging van centrale uitwisse- 
lingssystemen. Dat is namelijk wat er in de wet wordt voorgesteld. Er zou 
een centraal uitwisselingssysteem tussen zorgaanbieders moeten komen, 
waarbij de patiënt wellicht de mogelijkheid krijgt om wel of geen 
toestemming te geven. Ik zal twee punten behandelen en enkele aanbeve¬ 
lingen doen. Ik heb ze ook op het A4-tje gezet dat naar de commissie is 
gestuurd. 

Ik begin met de zogenoemde verwijsindex. Die kennen we ook van de 
voorloper van dit soort systemen, het landelijk schakelpunt van VZVZ. Dat 
is eigenlijk heel grote tabel in een centraal systeem. Je kunt het zien als 
een grote matrix, waarbij op de rijen de bsn-nummers van de gebruikers 
staan. De wet voorziet erin dat er toestemming wordt gegeven voor het 
gebruik van het bsn. In de kolommen staan de zorgaanbieders. Je kunt je 
voorstellen dat waar beide elkaar kruisen, staat: deze man of vrouw is 
patiënt bij deze zorgaanbieder. Zo'n verwijsindex wordt eigenlijk impliciet 
genoemd in het wetsvoorstel. Dat is een heel gevoelige tabel, die 
onwenselijk en technisch gezien niet noodzakelijk is. Dat is het belang¬ 
rijkste punt dat ik wil maken. 

In eerdere besprekingen van landelijke schakelpunten is al naar voren 
gekomen waarom het onwenselijk is. Als zo'n tabel in verkeerde handen 
valt, is plots duidelijk wie waar patiënt is. Het kan ook om een hiv-kliniek 
of een ggz-instelling gaan. Daarom wil je een centraal systeem met zo'n 
verwijsindex vermijden. Het is een heel grote tabel die heel lastig te 
beveiligen is. 

Het is technisch gezien niet noodzakelijk en dat biedt een perspectief dat 
in het verleden niet echt is besproken of bekeken. Ik ben hoogleraar 
informatiebeveiliging aan de Radboud Universiteit en daarnaast ben ik 
betrokken bij het nationale elD, het nationale identiteitsstelsel. In 2014 
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hebben we allerlei cryptografische technieken ontwikkeld om de privacy 
binnen zo'n elD-stelsel te beschermen. De technieken die in 2014 zijn 
ontwikkeld, zou je relatief gemakkelijk kunnen toepassen in verwijsin- 
dexen die volledig gepseudonimiseerd zijn. De functionaliteit van de 
systemen van VZVZ en de gespecificeerde toestemming kun je daarin 
regelen, maar je houdt wel een systeem over dat veel cleaner is, omdat er 
geen persoonsgegevens maar pseudoniemen in worden verwerkt. 

In het A4-tje dat ik aan de commissie heb gegeven, heb ik een referentie 
opgenomen naar de uitspraken van het CBP over de eisen die daarvoor 
gelden. Als je aan die eisen voldoet, is zo'n verwijsindex niet meer 
gevoelig; de angel is dan uit dat centrale systeem gehaald. Ik beveel 
daarom aan om dat aspect een prominente plaats te geven in het 
wetsvoorstel. Daarmee geef je explicit aan dat zo'n verwijsindex gepseu¬ 
donimiseerd moet worden of dat er gebruik moet worden gemaakt van 
privacy enhancing technologies, om ervoor te zorgen dat deze banale 
tabel in ieder geval niet centraal wordt toegepast. Als deze manier om het 
te regelen niet gebruikelijk is, zou je het in ieder geval in de algemene 
maatregel van bestuur kunnen regelen. In de vorige sessie werd de 
NEN-norm genoemd en ook ik denk dat het in vergelijking met de huidige 
systemen een pluspunt is om het zo te doen. 

Mijn tweede opmerking heeft ook te maken met de landelijke schakel- 
punten die in de praktijk worden gebruikt door VZVZ. Het gaat mij om de 
techniek waarmee gegevens door de ene aan de andere zorgaanbieder 
worden verstrekt. Hoe gaat dat nu? Die gegevens worden versleuteld 
verstuurd naar het landelijk schakelpunt, zeg maar de hub, de centrale 
spil. Ze worden daar ontsleuteld en vervolgens opnieuw versleuteld naar 
de opvragende zorgaanbieder verstuurd. Dat is een manier van werken 
die tien jaar geleden, toen dit soort systemen werd ontwikkeld, misschien 
nog wel logisch was, maar op dit moment is het niet meer gebruikelijk dat 
gegevens eventjes in the clear, onversleuteld, in zo'n centraal systeem 
staan. 

Met het elD kun je met een bankmiddel, bijvoorbeeld een bankpas van de 
ING, aanloggen bij de Belastingdienst. Uiteindelijk krijgt dan de Belasting¬ 
dienst het bsn van de gebruiker, maar dat bsn staat op geen enkel 
moment eventjes in plain text op de systemen van de ING. 

Die oude manier van werken, waarbij die versleuteling even ongedaan 
wordt gemaakt op een centrale plek, is niet meer van deze tijd. Ik denk dan 
ook dat daar aandacht aan moet worden besteed in de algemene 
maatregel van bestuur of de NEN-norm, waarover we zojuist spraken. Zo 
zal expliciet moeten worden geëist dat de gegevens niet beschikbaar 
komen voor het centrale systeem zelf, als dat systeem een actieve rol 
speelt bij de uitwisseling van de gegevens. 

Mijn laatste punt is de NEN-norm. Ik weet niet precies wat voor NEN-norm 
het is, maar ik zag wel dat in de memorie van toelichting de NEN 7510 
werd genoemd. Dat is dus geen technische norm, maar een norm voor 
informatiemanagementsystemen. Die norm voegt in deze context niet zo 
heel veel toe aan de beveiliging. Als we het al willen hebben over 
NEN-normen, dan zouden we het over nieuwe NEN-normen moeten 
hebben waarin in ieder geval de twee punten die ik net heb aangedragen, 
een prominente plaats krijgen. 

De voorzitter: Knap hoe iedereen in heel korte tijd toch heel veel weet te 
zeggen. Ik geef het woord aan de heer Van 't Noordende; hij heeft in de 
vorige sessie ook al iets gezegd. 

De heer Van 't Noordende: Ik kan dan ook ten dele verwijzen naar wat ik 
de vorige keer heb gezegd. Ik heb het niet helemaal uitgeschreven, want 
omdat er zoveel verschillende aspecten spelen, zal ik waarschijnlijk ook 
terug moeten komen op wat er eerder is gezegd. De normering kan 
overigens waarschijnlijk beter in de discussie hierna worden behandeld. 
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Ik ben al een tijdje betrokken bij deze discussie, namelijk sinds in 2010 het 
eerste wetsvoorstel voor het epd werd behandeld. Het is heel interessant 
om te zien hoe de ideeën over het geven van toestemming door de tijd 
heen zijn veranderd. Indertijd ging het vooral over de WGBO en de Wbp. 

In de motie-Tan (31 466-Y) is expliciet aangeven dat de nieuwe wetgeving, 
de wetgeving die nu voorligt, moet voldoen aan de kaders van de WGBO 
en de Wbp. De Minister heeft ook gezegd dat te willen doen, maar dat is 
eigenlijk niet het geval. Eigenlijk verandert door deze wetgeving de hele 
betekenis van de WGBO en de Wbp. Het was de bedoeling dat door de 
WGBO en de Wbp de zeggenschap zo zou worden geregeld dat de arts 
samen met de patiënt zou bespreken met wie er gegevens worden 
uitgewisseld, maar nu wordt het veel meer bij de patiënt neergelegd. 
Straks zal de patiënt zelfs via een portaal een soort afvinklijstje moeten 
intypen. Dat roept heel veel vragen op en naar mijn gevoel gebeurt het 
overhaast. 

Als je een centraal portaal hebt waar de patiënt zelf vinkjes moet gaan 
zetten, geheid datdie patiënt dan denkt dat de gynaecoloog nooit nodig 
zal zijn, maar dat dat het jaar erop wel het geval blijkt te zijn. Zij moet dan 
eerst inloggen op haar portaal om ervoor te zorgen dat de huisarts 
gegevens kan uitwisselen met de gynaecoloog. Dat is natuurlijk echt een 
probleem. 

Het is ook de vraag hoe het met de aansprakelijkheid en de verantwoorde¬ 
lijkheid zit. Indien als gevolg van een beslissing gegevens niet opvraag¬ 
baar zijn, is de patiënt dan verantwoordelijk en aansprakelijk voor die 
beslissing? Ik denk dat het heel goed is dat we in de WGBO en de Wbp 
uitgaan van het professionele dossier en het professionele handelen van 
de arts. Voor de zeggenschap van de patiënt is dan ook een andere wet 
nodig. 

Vorig jaar is onder anderen door Theo Hooghiemstra gezegd dat er nog 
een aantal dingen ontbreken, bijvoorbeeld het patiëntgeheim. Een 
inzagerecht voor patiënten is prachtig, maar daar hebben we deze wet 
niet voor nodig. Dat recht is er namelijk al, zoals daarstraks duidelijk is 
gezegd. Er zijn al projecten gaande. Wat er nodig is, zijn kaders om de 
patiënt te beschermen tegen werkgevers en zorgverzekeraars die de 
patiënt op de schouder tikken en zeggen: mag ik die gegevens ook even 
zien. Dat soort dingen ontbreekt volledig in deze wet. 

Van een wetsvoorstel dat ooit bedoeld was voor communicatie tussen 
zorgverleners onderling gaan we naar een wetsvoorstel dat helemaal 
uitgaat van de patiënt. Ik denk dat de manier waarop dat gebeurt, 
ondoordacht is. 

Tot slot ga ik in op de op zichzelf terechte opmerking van Bart Smals dat 
de patiënt uitgaat van communicatie tussen partijen. Het is interessant dat 
juist in het kader van de WGBO scenario's worden beschreven waarin 
zorgverleners zelfs zonder toestemming gegevens mogen uitwisselen. In 
die wet ging het helemaal niet over push of pull, wat in deze wet wel het 
geval is, maar over situaties met een waarnemer, een direct betrokkene of 
een recept dat naar de apotheek wordt gestuurd. Als je systemen goed 
inregelt op de WGBO en de Wbp, kun je zorgvolgend communiceren 
zonder dat je de patiënt daar per se mee lastig hoeft te vallen of dat je te 
maken krijgt met blokkades als vinkjes zetten in een centraal portaal. 

Dat waren een paar opmerkingen. Er speelt zoveel rond deze wet dat ik 
niet alles kan behandelen. Hopelijk kan ik in het «vragenuurtje» nog wat 
meer zeggen dan wat ik nu in deze observaties zei. 

De heer Bosman: Voorzitter en leden van de commissie, dank voor de 
mogelijkheid om mijn standpunt naar voren te brengen. Een jaar geleden 
heb ik dat ook gedaan. Ik zal de punten die ik toen naar voren heb 
gebracht, nu niet herhalen. Ik neem aan dat die bekend zijn. De problemen 
die wij toen hadden met de wet, waren vooral ingegeven door onze 
zorgen over de positie van de patiënt. Naar onze stellige overtuiging 
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kwam die in het wetsvoorstel eigenlijk heel weinig aan bod. De patiënt 
wordt wel een positie gegeven, maar er worden geen middelen gecreëerd 
waarmee hij die positie kan waarmaken. 

Het afgelopen jaar hebben wij met een aantal partijen gesproken; de 
Minister refereert er ook aan in haar brief. Het is onze indruk dat er 
voldoende support is om wat de wet beoogt, werkelijkheid te laten 
worden. De partijen willen dat en er wordt ook aan gewerkt. De ruimte die 
de Minister voorstelt in haar brief, is nodig om tot een juiste en concrete 
implementatie te komen van datgene wat nodig is. Dat is iets wat wij 
onderschrijven. Wij denken ook dat het nuttig is. Het tijdpad blijft 
desalniettemin ambitieus. 

Terugkomend op de vraag of de wet op zichzelf belangrijk is: vorig jaar 
hebben we aangegeven dat we eigenlijk vinden dat dat niet zo is. 

Daarover is ons standpunt ook niet wezenlijk veranderd. Het creëren van 
druk op het veld om activiteiten te ontplooien is echter wel nuttig en 
noodzakelijk. Je ziet het afgelopen jaar dan ook dat er, mede onder druk 
van de wet, activiteiten zijn gekomen. In die zin is het nuttig om de 
rompwet, ook al worden een aantal dingen uitgesteld, aan te nemen. 
Overleggen met de partijen hebben het afgelopen jaar geleid tot een 
aanpak om te komen tot daadwerkelijke implementatie. Die bestaat 
eigenlijk uit twee delen, zoals Sjaak Nouwt in het eerste deel al zei. Een 
deel richt zich op de eerste lijn en dan met name op de interactie tussen 
zorgverlener en patiënt. Daarbij gaat het er vooral om welke vraag je moet 
stellen. Hoe kan de informatievoorziening tussen die twee partijen op een 
zo goede manier worden vormgegeven dat ook duidelijk is waar 
toestemming voor gegeven wordt en waarom? 

Het andere deel is ook al eerder aan bod gekomen, namelijk dat er in de 
wet zo weinig staat over het faciliteren van de patiënt in zijn rol. Als de 
patiënt toestemming wil geven, moet aan de ene kant duidelijk zijn 
waarvoor toestemming wordt gegeven en aan de andere kant welke 
mogelijkheden hij heeft om het op een zinnige en effectieve manier bij te 
houden. Het werkt niet als een patiënt bij tien of twaalf verschillende 
zorgverleners moet aangeven wat hij wel of niet wil en als die patiënt ook 
nog eens moet bijhouden wat hij op die verschillende momenten heeft 
aangegeven. 

Bij de techniek liggen ook de nodige uitdagingen als je het op een goede 
manier wilt doen. De authenticatie is genoemd, maar ook zoiets als een 
zorgaanbiedersadresboek is nodig om te kunnen verifiëren wie de 
zorgaanbieders zijn. Er wordt gesproken over categorisering van 
zorgverleners, maar er is geen gestandaardiseerde lijst van categorieën 
van zorgverleners. Net zo min bestaat er een duidelijke categorisering van 
medische gegevens waartegen ja of nee gezegd zou moeten worden. Dat 
zijn wel zaken die moeten worden geregeld om het mogelijk te maken. 

Het tweede spoor is bedoeld om te komen tot een centrale beheerfaciliteit. 
Daarbij zou heel goed een verbinding kunnen worden gelegd met het 
project van de NPCF onder de naam Meer regie voor gezondheid. In de 
oude terminologie wordt dat ook wel het pgd genoemd. 

Er moeten nog verschillende zaken worden bekeken; de NEN-norm is al 
genoemd. Ik denk dat de NEN-norm hier heel goed bij zou passen. In het 
verleden is de NEN-norm 7521 voorbijgekomen. Er is aangegeven dat we 
daarmee eigenlijk te veel stappen vooruit zouden zetten. Wat uit het 
onderzoek in de komende periode zou moeten komen, is dan ook zeker 
noodzakelijke input om te komen tot een dergelijke NEN-norm. Men kan 
dan met een zinnige NEN-norm komen voor de eisen waaraan systemen 
moeten voldoen. De huidige NEN-normen geven wel informatie over 
authenticatie, autorisatie en logging, maar eigenlijk niet over de gespecia¬ 
liseerde toestemming die wij nu bespreken. 

Het tijdpad is ambitieus. Wij denken dat de tijd die ons wordt gegund, een 
basis is om te komen tot zinnige besluitvorming. Wij zijn ervan overtuigd 
dat het kan en dat het veld ook wil dat het op een werkbare manier wordt 
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geïmplementeerd. Patiënt empowerment is wat ons betreft niet een 
technisch implementatietraject, maar het gaat om het creëren van een 
omgeving waarin de cliënt, de burger, de patiënt geïnformeerde keuzes 
kan maken over zijn zorgproces. Dat betekent ook dat men ervoor moet 
kunnen kiezen om het over te laten aan de zorgverlener, want niet elke 
patiënt is in staat om het zelf te doen. De patiënt is de enige echte 
ervaringsdeskundige, zowel in ziekte als in behandeling. De empowered 
patiënt is ook de patiënt die het respect krijgt dat hij verdient voor die 
deskundigheid. 

De heer Van Miltenburg: Dank voor de gelegenheid om een bijdrage te 
leveren aan dit belangrijke wetsvoorstel. 

Om te beginnen wil ik er aandacht voor vragen dat we het niet alleen 
hebben over het voorbereiden van de technische ontwikkelingen en de 
uitvoering van de wet, maar dat er op zijn minst een gelijkwaardige rol 
moet zijn voor onderhoud, beheer en toezicht. Toezicht is in het vorige 
gedeelte al even aan de orde gekomen; ik zal daar zo nog even op 
terugkomen. 

Het is heel belangrijk dat er een goede organisatie komt te staan om de 
patiënt en de zorgverleners in staat te stellen om met de juiste tools een 
stukje ketenbeheer te doen. We hebben hierbij met ontzettend veel 
partijen te maken, die door het wetsvoorstel allemaal op een verschillende 
manier geraakt worden, soms in positieve en soms in negatieve zin. Het is 
heel belangrijk dat de privacy en het beroepsgeheim geborgd zijn - dat 
was een van de vragen die mij door de commissie is voorgelegd - tijdens 
de periode van drie jaar waarin we uitproberen of ervoor zorgen dat we 
naar de horizon toe kunnen werken. Mede door het arrest dat het 
gerechtshof op 8 maart heeft uitgevaardigd, zijn wij van mening dat dat 
voldoende is geborgd. Als wij de voorliggende wet ongewijzigd zouden 
aannemen, verwachten wij op dat punt geen problemen. 

Vanochtend heb ik het nog even nagekeken: op dit moment zijn er zo'n 
16,5 miljoen toestemmingen van burgers, patiënten verwerkt. En dat is 
nog maar het begin. Mocht deze wet erdoor komen, dan zullen we zien 
dat dit aantal nog heel sterk zal toenemen. Voor de patiënt en de 
zorgverlener is het heel belangrijk - het is in de vorige ronde al gememo¬ 
reerd - dat er behoorlijk wordt gesleuteld aan de systemen als de artikelen 
15a en 15c daadwerkelijk doorgang vinden. We zullen echt voorzieningen 
moeten treffen om de administratieve last van zorgverleners en de 
zelfregie van patiënten werkelijkheid te laten worden. Een goed functio¬ 
nerend systeem is daarvoor noodzakelijk. 

De afgelopen jaren hebben we bij het landelijke schakelpunt gezien wat er 
allemaal bij komt kijken om een centraal systeem in te richten. We hebben 
ook gezien dat het algemene veiligheidsniveau in Nederland door de 
ICT-systemen omhoog is gegaan. Vorige sprekers hebben daarover ook al 
iets gezegd. Er blijft natuurlijk altijd iets te wensen over, maar we hebben 
kunnen vaststellen dat we voldoen aan de keuzes die we hebben gemaakt 
in de wet- en regelgeving, de normeringen en de standaarden. 

Een ander belangrijk aspect, aan de patiëntenkant, betreft de vraag hoe je 
het moet inrichten om de patiënt een stuk zelfregie te geven. Je hebt 
immers een totaalpalet aan verschillende typen burgers en patiënten met 
allemaal verschillende wensen. Daarvoor kun je eigenlijk maar twee grote 
mechanismes gebruiken: je kunt een centrale voorziening regelen of het 
decentraal doen. Als je voor decentrale methodieken kiest, zowel 
technisch als organisatorisch, kun je de organisatie, het toezicht en de 
veiligheidsaspecten heel moeilijk in de hand houden. Wij pleiten daarom 
in ieder geval voor centrale portalen, waarin patiënten het zelf kunnen 
regelen. Dat staat los van de vraag waar je het regelt en hoe je ze inricht. 
Daarnaast is het ook belangrijk dat er een adequaat authenticatiemiddel 
komt. Daarmee kom ik op de termijn van drie jaar. We hebben nog geen 
centrale portalen in dit land. We hebben nog geen afdoende authenticatie- 


Eerste Kamer, vergaderjaar 2015-2016, 33 509, L 


22 


middel. Als we vandaag een beslissing zouden nemen, hebben we op z'n 
minst die drie jaar nodig om het met al die partijen technisch voor elkaar 
te krijgen. Om een beeld te schetsen: er zijn ongeveer vijftien commerciële 
leveranciers van softwaresystemen in dit land. Al die software moet aan 
elkaar worden geknoopt en dat vergt nu eenmaal de nodige aanpas¬ 
singen. Daarom zijn wij er een voorstander van dat normering en 
standaardisering een onderdeel worden van de rompwet. Dat is nodig om 
stappen te kunnen zetten. 

Een ander belangrijk aspect is de timing, de tijd die het veld krijgt om dit 
te doen. Het zijn echt niet alleen de ICT-leveranciers die een inspanning 
moeten leveren, want ook de zorgverleners zullen dat moeten doen. Zij 
zullen hun bedrijfs- en praktijklogistiek hierop moeten aanpassen. Wij 
hebben waargenomen dat de wijze waarop de toestemmingen zijn 
geregeld, zowel voor de zorgverleners als de patiënten, behoorlijk 
belastend is. Wij wijzen de commissie er dan ook op dat er gekeken moet 
worden naar de eenvoud en de hanteerbaarheid voor zowel patiënt als 
zorgverlener. Dat zal als speerpunt meegenomen moeten worden. Wat 
betekent dat in de praktijk? In de praktijk betekent dat dat de patiënt naar 
een pagina op het portaal moet kunnen gaan om daar zijn toestemming te 
regelen, conform hetgeen we in de wet hebben bepaald. Verder moet de 
patiënt niet alleen op het moment dat hij dat doet, maar ook maanden of 
jaren later, terug kunnen zien waarvoor hij of zij toestemming heeft 
gegeven. Ik zeg dat omdat we vandaag de dag het probleem zien dat 
patiënten de angst ontwikkelen dat ze te weinig toestemmingen hebben 
gegeven aan de partijen die ze belangrijk vinden. 

Tot slot pleit ik ervoor om niet alleen te kijken naar de uitvoerbaarheid van 
de wet, maar ook naar een manier om het begrip van de burgers en de 
consumenten voor het toestemmingsvraagstuk te verhogen. De kennis 
van burgers en consumenten is op dit moment niet toereikend. We 
hebben de praktijkvoorbeelden al gehoord. Patiënten komen op het 
moment dat ze zorg nodig hebben voor onverwachte situaties te staan, 
bijvoorbeeld als er geen toestemming is verleend of de toestemming 
ontbreekt voor die dokters en zorgverleners die nog niet in het toestem- 
mingscircuit zitten. Ik zou er een lans voor willen breken dat tegelijk met 
de invoering van een dergelijke wet het aspect van de kennis en de 
informatievoorziening richting patiënten aandacht krijgt. Dat is heel 
belangrijk om begrip en draagvlak voor je keuzes te krijgen. 

De voorzitter: Dan geef ik nu graag het woord aan de heer Van Engelen 
van de Radboud Universiteit. Hij is directeur van het REshape Innovation 
Center en misschien houdt hij zich wel met al die technische vernieu¬ 
wingen bezig. 

De heer Van Engelen: Dat is een van de dingen waarmee we ons bezig 
mogen houden. 

Ik ben inderdaad werkzaam bij het Radboud UMC, het universitair 
medisch centrum. Daar hebben we negen jaar geleden een innovatie¬ 
centrum mogen neerzetten om een beetje te kunnen snappen waar het in 
de toekomst naartoe gaat. Die kennis vertalen we vervolgens naar 
handzame producten en projecten om onszelf als huis en de mensen 
buiten mee te nemen in waar het over gaat. 

In reactie op de uitnodiging heb ik een stukje geschreven met als titel 
Omdat het 2016 is. Ik zou niet inhoudelijk willen ingaan op de technische 
vraagstukken die al de revue zijn gepasseerd, omdat ik anderen veel meer 
deskundig acht op die terreinen. Ik wil vooral nog een keer een antwoord 
geven op de vraag waarom we dit ook alweer zijn gaan doen. Dat was ook 
mijn reactie toen ik de uitnodiging onder ogen kreeg en de onderliggende 
stukken nog een keer heb geprobeerd door te wandelen. Ik merkte dat de 
aangehaalde punten zich eigenlijk niet anders laten positioneren dan als 
ten behoeve van de professional. Daar is niks mis mee, zeker niet omdat 


Eerste Kamer, vergaderjaar 2015-2016, 33 509, L 


23 


we zelf een academisch centrum zijn, maar ik vind wel dat het belang van 
de patiënt, voor wie het volgens mij ooit begonnen is, toch steeds meer 
op een andere plek op de tafel terechtgekomen is. 

We beschikken inmiddels over onze eigen energieverbruiksdata thuis. We 
hebben onze bancaire data digitaal tot onze beschikking en zelfs de 
belastingaangifte, ook geen kleine klus, is volledig online. De blauwe 
envelop hebben we vaarwel gezegd en toch hebben we het hier nog 
steeds over dit soort onderwerpen. 

Ik vind dat data langzamerhand echt een soort munteenheid zijn 
geworden waar je macht aan kunt ontlenen, waar je geld mee kunt 
verdienen en waarmee je jezelf relevant kunt maken en laten blijven. 
Daarmee kun je hele processen gijzelen. Ik ben dan ook van mening dat 
het steeds meer in het belang van de professionals, instellingen en 
bedrijven is dat er iets wordt gedaan aan het feit dat de gezondheidszorg 
de enige sector is in onze maatschappij waar ik nog steeds geen digitale 
toegang heb tot mijn eigen gegevens. Dat zijn wel mijn meest intieme 
gegevens, zeg ik erbij. Uiteraard is er wel het recht op de niet-digitale 
inzage. Ik zou de senatoren willen uitdagen om het zelf een keer te 
proberen, zeker als je zes behandelaren hebt. Vraag je gegevens eens een 
keer op, niet alleen om te zien hoe het is om naar een balie te gaan en 
daar iedere keer afzonderlijk, soms zelfs op afdelingsniveau, apart te 
moeten betalen, maar vooral ook om de blikken waar te nemen van de 
mensen daar, die ook nog een keer aan je vragen waarom je die gegevens 
nou eigenlijk nodig hebt. Ik denk met het oog hierop dat digitale toegang 
wel degelijk enorm drempelverlagend kan werken en in dat kader wil ik 
dan ook mijn reactie geven op artikel 15d. 

De discussie over artikel 15d is niet van gisteren. Niemand kan zeggen dat 
hij het niet aan zag komen en toch is er nog steeds onvoldoende op 
voorgesorteerd door instellingen en professionals. De invoering lijkt nu 
drie jaar uitgesteld te worden. Eerlijk gezegd denk ik dat vooral de prikkel 
ontbreekt of ontbroken heeft om er daadwerkelijk iets mee te doen. Het is 
voor de ander. Het is voor de patiënt. Het is niet voor jezelf. Het wordt 
lastiger. Het kost je ook nog een keer geld. Ik ben ervan overtuigd dat we 
deze discussie hier vandaag niet zouden voeren als de financiering en de 
betaling van interventies hiervan afhankelijk zouden zijn geweest. 

Dan kom ik op de elektronische inzage en de koppeling aan een specifieke 
toestemming. De onveiligheid duurt maar voort, terwijl we het juist zijn 
gaan doen om vermijdbare fouten te voorkomen. Als Radboud hebben we 
in 2012 al alle dossiers opengesteld en recent, eind vorig jaar, voegden 
onze collega's in Utrecht daar nog de realtime component aan toe. Ik vind 
het zeer prijzenswaardig dat dat is gelukt. Ziekenhuizen zijn niet de 
kleinste organisaties. We worden vaak betitteld als mammoettankers en 
logge organen, maar we hebben wel zelf een innovatiecentrum ingericht 
om ervoor te zorgen dat het wat sneller gaat. En dat kan! Laten we niet 
meer zeggen dat het niet kan. Klaarblijkelijk lukt het. Mijn wens is dan ook 
om het juist nu te regelen voor hen die hierbij het meeste belang hebben, 
de patiënten, en dan vooral in de eerste plaats en niet, zoals het er nu in 
staat, in de laatste plaats. Maak van de invoeringstermijn van drie jaar een 
einddatum waarvoor het geregeld moet zijn. Leg vast dat we volgend jaar 
eindtermen hebben in de vorm van een nieuwe NEN-normering, dat we 
het jaar daarna de testen laten plaatsvinden en dat we het jaar daarna 
weer de nationale implementatie hebben afgerond. Doen we dat niet, dan 
zitten we hier over drie jaar met hetzelfde clubje en dezelfde boodschap 
weer. 

Ik heb ooit Jan Schrijer horen zeggen dat hij vroeger idealen had maar 
inmiddels weet dat alles om geld draait. Ik denk dat dat hier ook de 
situatie is. Koppel daarom ook de betaling van de behandeling - uitein¬ 
delijk alleen voor die behandelingen waar de patiënt daadwerkelijk inzage 
heeft kunnen krijgen - aan het verhaal en gijzel die 5% totdat de organi- 
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satie het heeft geregeld. Ik voorspel u dat het dan volgend jaar is 
opgelost. 

Ik verbaas me echt al jaren over het feit dat we vandaag de dag de 
bestaande en beschikbare hoogwaardige identificatie en authenticatie nog 
steeds niet inzetten. Ik ben het dus niet eens met mijn buurman. We 
beschikken allemaal over een bankpas, een random reader of een scanner. 
Volgens de laatste cijfers voldoet 90% van de Nederlanders daaraan, of ze 
nu wel of niet hooggeschoold zijn of daarbij hulp hebben. Kennelijk 
gebeurt dat op deze manier. Ik denk dat dit systeem overmorgen inzetbaar 
is en dat de banken dat ook zouden willen. 

Ik ben dan ook vol onbegrip dat de onveiligheid, de onduidelijkheid en de 
ongelijkheid voor de patiënt anno 2016 blijven bestaan, terwijl de 
komende Nobelprijs waarschijnlijk zal worden toegekend aan twee 
wetenschappers die in staat zijn om een DNA-stukje weg te knippen en op 
een andere plek te plaatsen, om een defect op te lossen. En dan praten we 
hier over dit soort situaties. Er worden missies naar Mars voorbereid. Ik 
vind dat dit onderwerp door het gelobby en door de politiek zodanig 
complex is gemaakt dat het oorspronkelijke doel vrijwel volledig is 
gemarginaliseerd. We zouden ons echt moeten schamen. 

Ik kom vaak in de omringende landen en ik krijg daaruit vaak bezoek. Dan 
merk ik dat ik mij aan het verontschuldigen ben. De ons omringende 
landen hebben dit al tien jaar geregeld, zonder een kik te geven. Dat is niet 
alleen in Estland, waarover vaak wordt gesproken, maar ook in Zweden, 
Finland en Andalucia. Al tien jaar geleden mocht ik daar zijn en zag ik hoe 
met een pasje de dokter en de patiënt keurig netjes gezamenlijk toegang 
kregen. Israël, de Arabische Emiraten en ook Singapore hebben dit 
gewoon gefikst en wij zijn echt niet anders. 

Ik rond af. Dit alles gebeurt omdat we het zogenaamd goed voorhebben 
met een patiënt, die in alle verhandelingen het minst voorkomt. Soms heb 
ik de indruk dat het debat vooral gevoerd wordt door gezonde mensen. 

Als ik spreek met mensen met een chronische aandoening, blijkt dat zij 
vaak anders in de wedstrijd zitten. Zij zeggen: zet het maar op een groot 
billboard naast mij, op het moment dat het nodig is. Laten we nu niet 
stoppen, maar vooral beginnen; het wetsvoorstel aannemen, gefaseerd 
stappen zetten, met duidelijke deadlines, en bij wijze van spreken de 
betaling daarvan afhankelijk stellen. 

Waarom nu en niet over drie jaar, zult u zich afvragen. Op gevaar af dat 
het enigszins populistisch klinkt, parafraseer ik de premier van Canada, 
die op de vraag waarom hij een gender equal kabinet had geïnstalleerd, 
zei: omdat het 2015 is. 

De heer Böhre: Voorzitter. Allereerst dank voor de uitnodiging. Ik verwijs 
naar onze schriftelijke input. Ik zal niet alles herhalen, maar ik herhaal wel 
de kern van de boodschap en wat extra dingen. Specifieketoestemming.nl 
is een onafhankelijke campagne, die enkele jaren geleden is gelanceerd 
door Stichting Privacy First, samen met het Platform Bescherming 
Burgerrechten. Ik ben zelf werkzaam bij Privacy First, dus ik zit hier 
voornamelijk met die pet op. De kernmissie van Privacy First is om 
Nederland tot een privacygidsland te maken. Dat hoeft niet van de ene op 
de andere dag. Als iedere relevante organisatie in Nederland daarnaartoe 
werkt, en zeker de Eerste Kamer, denk ik dat we snel een heel eind kunnen 
komen en dan is dit een heel mooi dossier. 

Wat mijzelf al jaren intrigeert bij dit wetsvoorstel is dat ik het voornamelijk 
zie als iets wat het landelijk schakelpunt (LSP) legitimeert en faciliteert. Zo 
zag ik het althans een aantal jaren geleden, toen het elektronisch 
patiëntendossier (epd) werd verworpen door de Eerste Kamer. De 
infrastructuur van het epd werd door private partijen doorgestart in de 
vorm van het landelijk schakelpunt. Zo zagen wij het destijds en zo zien 
wij het nog steeds grotendeels, met alle manco's die destijds in de 
infrastructuur zaten en nog steeds zitten. 
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De kern van de campagne specifieketoestemming.nl is om de 
toestemming die hierbij een kernbegrip is, zo specifiek mogelijk te laten 
zijn en blijven. Dan hebben we het over een gerichte, welbepaalde 
toestemming over specifieke patiëntgegevens ten behoeve van specifieke 
zorgverleners en specifieke doeleinden. Doelbinding, noodzakelijkheid, 
proportionaliteit en subsidiariteit zijn de kernbegrippen die daarbij leidend 
dienen te zijn. Nogmaals, wij zagen het wetsvoorstel vooral als een 
wetsvoorstel dat het LSP legitimeerde en faciliteerde. In onze optiek is de 
infrastructuur te grootschalig en inherent onveilig, met generieke, 
ongerichte en onbepaalde toestemming. 

Om even in te gaan op de stukken die voorliggen bij dit wetsvoorstel, ik 
ben zelf jurist, maar het is mij nog steeds niet duidelijk hoe wij artikel 15a 
moeten interpreteren. Gespecificeerde toestemming is eigenlijk een nieuw 
begrip, dat door de Minister is geïntroduceerd. De generieke toestemming 
die eerst in het wetsvoorstel zat, is eruit gehaald, en terecht. Wij 
verschillen erover van mening met het CBP, nu de Autoriteit Persoonsge¬ 
gevens, dat die generieke toestemming zelf al legitiem zou zijn onder de 
Wet bescherming persoonsgegevens in verband met het recht op privacy, 
als mensenrecht. Wij zien dat anders. Wij vinden generieke toestemming 
per definitie onrechtmatig. Dat is trouwens ook de inzet van een 
rechtszaak tussen VPHuisartsen tegen VZVZ over het LSP. Onlangs heeft 
het hof Arnhem arrest gewezen. Het zou ons niet verbazen als hiertegen 
binnenkort cassatie zal worden ingesteld bij de Hoge Raad. Er is dus nog 
het een en ander gaande op dit onderwerp. 

Je kunt ook van mening verschillen over de interpretatie van gespecifi¬ 
ceerde toestemming. De interpretatie hiervan is volgens ons nog steeds 
generiek, maar je zou het begrip ook gespecificeerd generiek kunnen 
noemen, want het geeft carte blanche voor toekomstige uitwisseling. Wij 
vinden het standpunt van de Minister hierover onbegrijpelijk. Zij 
reageerde onlangs op een brief van ons, die gericht was aan de Eerste 
Kamer, met een afschrift aan de Tweede Kamer. De Tweede Kamer vroeg 
de Minister om een reactie op onze brief. Met alle respect, haar brief komt 
op mij over als gegoochel met termen, waardoor het alleen maar 
onduidelijker wordt. We hadden blijkbaar een gevoelig punt geraakt. 

De Minister schrijft in die brief dat er momenteel geen sprake is van 
generieke toestemming en dat daar ook geen sprake van zal zijn. Ik pak 
het arrest van het hof Arnhem erbij. Door het hof wordt letterlijk gezegd 
dat er nu een toestemming is voor niemand of iedereen, oftewel een 
generieke toestemming. Het standpunt van de Minister is dus op de dag 
waarop zij haar brief verstuurde, onderuitgehaald door het hof te Arnhem. 
Even in een nutshell. Het wetsvoorstel 33 509 over het LSP komt wat ons 
betreft neer op function creep by design in plaats van privacy by design. 
Function creep is sluipende doelverschuiving. Dat zie je de laatste jaren op 
heel veel terreinen optreden. Ook bij dit dossier is dat heel duidelijk aan 
de orde. 

Overigens pleit Privacy First altijd voor privacy by design, maar ook voor 
security by design. Er zitten hier een paar mensen, rechts van mij, die veel 
expertise op dit gebied hebben. Het patiëntenportaal komt nu ook opeens 
naar voren. Wat ons betreft is dat prima, maar dan wel als een optie of 
recht. Je moet het niet opleggen; het zou geen plicht moeten worden. 
Vandaag kwam het rapport van de Nationale ombudsman uit, waarin hij 
het standpunt inneemt dat communicatie tussen de overheid en de burger 
nooit verplicht digitaal mag zijn. Om een kleine zijstap te maken, onder de 
huidige Algemene wet bestuursrecht (Awb) heeft iedere burger het recht 
om ook op niet-digitale wijze met de overheid te communiceren, dus in 
persoon, telefonisch of op papier. Daar kun je een parallel mee trekken, 
denk ik. 

Wat ons betreft zijn het patiëntenportaal, de eigen regie voor de burger en 
de informationele zelfbeschikking prima. Daar zijn we helemaal voor. Dat 
bepleiten wij ook al jaren. Maar leg het niet op. Maak het geen plicht. Er 
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zijn heel veel mensen in deze maatschappij die zich daar waarschijnlijk 
nauwelijks raad mee weten en die liever de dingen persoonlijk, ter plekke 
met hun huisarts regelen. De arts is ook verantwoordelijk voor het 
zorgdossier. Je mag dat niet allemaal bij de arts wegtrekken en bij de 
patiënt neerleggen. Wij vinden dat een onverantwoorde verschuiving van 
de verantwoordelijkheid en ook van de aansprakelijkheid in sommige 
gevallen. De regie over de inhoud en de toegang tot het zorgdossier dient 
altijd bij arts en patiënt gezamenlijk te blijven, conform het huidige 
medisch beroepsgeheim en de medische privacy. 

De voorzitter: Dank u wel. Dan komen we nu toe aan de vragen van de 
collega's. 

Mevrouw Nooren (PvdA): In de voorbereiding hebben wij de volgende 
vraag gesteld. Er zijn mensen die zeggen: begin nou, want het gaat de 
goede richting op, en er zijn mensen die een voorbehoud maken. Hierbij is 
sprake van een dilemma. Gaat de ontwikkeling de goede kant op, ook al 
wordt er nog verder nagedacht over generieke of gespecificeerde 
toestemming? Of zeggen jullie: als je nu dit wetsvoorstel aanneemt, staat 
het andere mogelijkheden in de weg? De Consumentenbond zei dat ook, 
hoewel ik dat nog niet helemaal kon pakken. De heer Van Engelen zei dat 
we tien jaar geleden misschien voorop liepen, maar dat we nu tien jaar 
achter lopen. Is het wetsvoorstel een stap in de goede richting? 

De heer Verheul: Ik denk dat het wetsvoorstel een stap in de goede 
richting is, ook omdat er extra eisen kunnen worden gesteld in een 
algemene maatregel van bestuur. Hier aan tafel merk ik dat het als de 
heilige graal wordt gezien dat mensen zelf in patiëntendata kunnen kijken. 
Dat zou heel fijn zijn, maar we moeten ons heel goed realiseren dat de 
computers van veel burgers niet veilig zijn. 10% van de pc's van 
gebruikers is besmet met malware. Je kunt je voorstellen dat, als een 
gebruiker inlogt op zijn eigen patiëntendossier bij de zorgaanbieder, er 
door mensen allerlei gegevens worden ontvreemd zodat deze tegen 
kunnen worden gehouden. Ik denk dat we heel voorzichtig moeten zijn 
met het snel aan mensen toegang geven tot hun dossier. Dat is misschien 
wel mooi voor de privacy of het inzagerecht, maar voor de betrouw¬ 
baarheid moeten we daar heel voorzichtig mee zijn. 

De heer Van Engelen: Dit is het andere Nijmeegse geluid. Ik word een 
beetje onrustig van zo'n opmerking. Ik denk dat mensen prima in staat zijn 
om daarin zelf keuzes te maken. Ik heb daarnet ook het telebankieren 
genoemd. Daarbij doen ze dat ook. We moeten de systemen zo maken dat 
dit wordt voorkomen. We hebben niet een compleet paternalistische 
instelling nodig om de patiënt/burger daartegen te beschermen, denk ik. 

De heer Verheul: Het fraudecijfer bij de Nederlandse banken was in 2010 
30 miljoen en ligt nu rond 5 miljoen. Dat komt niet doordat de gebruikers 
veiliger werken, maar doordat de banken het verkeer van al die besmette 
pc's als een idioot zijn gaan monitoren. Nu kun je door een besmette pc 
geen geld meer kwijtraken, maar je kunt nog wel je patiëntgegevens 
kwijtraken. We moeten voorkomen dat de burgers allerlei patiëntdossiers 
gaan bekijken op pc's die niet betrouwbaar zijn. Ik denk dat dit een heel 
belangrijk punt is. Een op de tien pc's is besmet met malware. Daar 
moeten we serieus rekening mee houden. 

De heer Van Engelen: Dan moet je of het systeem gebruiken van de 
banken die het kennelijk snappen, of die computers terug gaan halen. Het 
is een van de twee. 

De voorzitter: Ik denk dat het meningsverschil helder is. 


Eerste Kamer, vergaderjaar 2015-2016, 33 509, L 


27 


Mevrouw Gerkens (SP): We moeten niet vergeten dat de banken allemaal 
campagnes voeren om mensen te overtuigen om niet hun wachtwoord 
via de telefoon te geven of hun bankpasje op te sturen. Laten we niet 
zeggen dat het paternalistisch is, maar het is een feit dat mensen 
onvoorzichtig zijn. Het systeem dat de banken hebben, is ook onveilig, 
maar dat is het meest veilige systeem dat we kennen, dus een veilig 
patiëntensysteem bestaat gewoon niet. Dat bestaat in ieder geval nu nog 
niet, maar misschien komt dat er ooit. 

Door een aantal sprekers is gezegd dat er standaardisering moet komen 
van de normen. Ik vind dat wel een belangrijk pleidooi. Dat is belangrijk 
als er behoorlijk wat systemen aan elkaar worden gekoppeld; als we dat al 
gaan doen. Er zit nog veel meer in deze wet dan alleen de 
NEN-normering. Zou je dat ook op een andere manier kunnen regelen? 

Dat is een vraag aan de twee technische heren. 

De voorzitter: Mag ik zo vrij zijn om daar een vraag aan toe te voegen die 
in het verlengde daarvan ligt, als woordvoerder van de CDA-fractie? Ik heb 
net kennisgenomen van het besluit van de Europese Commissie betref¬ 
fende de vaststelling van profielen op het gebied van Integrating the 
Healthcare Enterprise (IHE), als referentie bij overheidsopdrachten. Dit 
gaat ook over de gezondheidszorg. Zijn die IHE-normen bekend? Daarin is 
sprake van allerlei standaarden. Als je daaraan voldoet, wordt alles 
communiceerbaar en compatible. Het gaat hierbij ook om de normen voor 
de beveiliging van apparatuur. Ik had ook begrepen dat de NEN-norm veel 
meer gaat over het proces, bijvoorbeeld datje geen geel stickertje met het 
wachtwoord op je computer moet plakken, en niet over de beveiliging van 
de apparatuur. Deze norm ziet juist op de veiligheid van de apparatuur, de 
processen, de software en de communicatie via die software. Stelt dat wat 
voor of niet? 

De heer Verheul: Ik ken deze specifieke norm niet, maar in het algemeen 
denk ik dat de Europese normen niet zo specifiek zijn dat je daar heel 
vrolijk van wordt. Het zijn uiteindelijk juridische teksten. 

De voorzitter: Het zou open source en voor iedereen toegankelijk zijn. 

De heer Verheul: Open source is ook geen garantie voor veiligheid. We 
moeten ons ook realiseren dat we in Nederland eigen ideeën hebben over 
privacy. Privacy is een nationaal principe. In Scandinavische landen 
hebben ze heel andere ideeën over privacy dan in Nederland. Als je in 
België een elD-kaart krijgt van de overheid, zit daar een certificaat met je 
bsn in. Als je met dat certificaat inlogt bij Bol.com, wordt dat bsn verstrekt 
aan Bol.com, met de verzekering dat Bol.com er niets mee doet. Je ziet 
dat men sommige landen in Europa toch wat anders over privacy denkt 
dan wij in Nederland. 

De heer Van 't Noordende: Ik wil op een paar dingen reageren. Er is de 
hele tijd spraakverwarring over de NEN-normen. In 2008 zijn de 
NEN-normen al bij ministeriële regeling verplicht gesteld. Ik weet niet 
wanneer dat gestopt is. Het regelen of verplichten van de NEN-normen 
hoeft niet bij wet, maar kan per AMvB. Ik snap niet zo goed waarom 
hierover de hele tijd een discussie wordt gevoerd. Deze wet is niet nodig 
voor de NEN-normen. Sterker nog, die worden in de praktijk al toegepast 
door het CBP. Ik zie niet in waarom wij deze wet moeten ophangen aan die 
AMvB over de NEN-normen. 

Ik zal proberen de discussie over veiligheid en de banken in perspectief te 
plaatsen. Die discussie komt heel sterk voort uit de legacy van het 
landelijk schakelpunt. Het idee daarbij was dat er op grote schaal 
gegevens worden opengezet. Nu is er gespecificeerde toegang gekomen. 
Eigenlijk is dat een beperkende maatregel om het wat kleiner te maken. 
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Volgens mij is een portaal daarvoor niet het meest geschikte middel. Een 
andere manier is een pasje, zoals dat jaren geleden al is voorgesteld door 
senator Tan. Dat werd toen afgeserveerd door de Minister, maar nu wordt 
het opgevoerd alsof we dat over drie jaar zullen hebben, om te kunnen 
inloggen op een portaal. Als je kunt inloggen op een portaal, met een 
pasje met een smartcard en een certificaat erop, kun je ook met zo'n pasje 
artsen autoriseren in het proces, doordat een specifieke arts een pasje in 
de lezer kan stoppen. Dat is hartstikke kostbaar. Zorgverleners hebben er 
ongetwijfeld geen zin in om lezers op hun bureau te hebben, maar het kan 
dus wel. Ik probeer dit even in perspectief te plaatsen. 

Dan nog het punt van de beveiliging of de onveilige computers. Dat is een 
van de dingen waar ik bij Whitebox mee bezig ben. Het systeem dat we in 
Amsterdam aan het ontwikkelen zijn, is om te proberen alleen maar 
autorisaties of toegang te verlenen aan die partijen die deze ook echt 
nodig hebben voor het zorgproces. Dan heb je een paar artsen om je heen 
die toegang krijgen. Daarmee is het aanvalsvlak heel klein. Dat zijn heel 
concrete maatregelen om de beveiliging te verbeteren. Daar heb je geen 
normen voor nodig, daar heb je gewoon een actieve houding voor nodig. 
Eerlijk gezegd geloof ik niet dat dit wetsvoorstel wat dat betreft de goede 
kant op gaat, want daarin wordt er juist heel erg op aangestuurd om het 
via dat portaal bij de patiënt neer te leggen. Het blijft een beetje ondui¬ 
delijk, maar dat is mijn reactie hierop. 

De heer Bosman: Mijn buurman zegt terecht dat de NEN-normen 7510, 
7511, 7512, 7513 an sich al toepasbaar zijn gesteld en worden gebruikt. Let 
wel op de daadwerkelijke implementatie in de praktijk. Ik ben zelf met 
eerstelijnspartijen de afgelopen tweeënhalfjaar bezig geweest om die 
NEN-normen toepasbaar te maken. De NEN-normen zijn geen alledaagse 
lectuur voor iedereen. Het is verstandig om er een verhaal bij te hebben 
hoe je dat moet doen. Is de NEN op zich noodzakelijk? Nee, het zou ook 
heel goed een gedragscode voor de zorg kunnen zijn. Dat geldt voor deze 
zaken net zo. 

Om nog even terug te komen op het IHE-verhaal. IHE biedt kaders 
waarbinnen standaarden ontwikkeld kunnen worden. Wil je tot concrete 
uitwisseling komen, dan zul je die standaarden toch veel specifiek moeten 
uitwerken. Dat past wel binnen dat kader. Ik denk dat dit heel goed 
toepasbaar is. Wij maken er ook veel gebruik van, maar het is niet het 
ultieme antwoord, in de zin dat als je de term IHE laat vallen, het 
probleem is opgelost. Helaas is dat niet het geval. 

De heer Van Hattem (PVV): Ik heb nog een vraag over de rechtszaak die 
bij het hof in Arnhem heeft gespeeld. In een artikel in De Telegraaf van 
8 maart staat dat het LSP wel zou voldoen aan de privacywetgeving. Klopt 
deze constatering of zitten er nog een hoop haken en ogen aan? 

De heer Böhre: Daar zitten veel haken en ogen aan, maar het zal u niet 
verbazen dat ik dat zeg. Het voornaamste punt waar wij over vielen in het 
arrest van het hof is dat het hof wel heel makkelijk heen wandelt over het 
vereiste van subsidiariteit en het vereiste dat het systeem zo privacyvrien- 
delijk mogelijk dient te zijn. Onder artikel 13 Wbp is dat een relatief harde 
eis in deze context, omdat het hier gaat om gevoelige persoonsgegevens, 
medische gegevens. Je kunt de geschiedenis erbij betrekken; de 
verwerping van het wetsvoorstel over het epd. Vervolgens wordt de hele 
boel privaat doorgestart met min of meer hetzelfde systeem en de 
epd-infrastructuur. In onze optiek is er niet grondig genoeg gekeken naar 
alternatieven, hoe het anders of beter had kunnen worden opgetuigd. Het 
hof Arnhem wandelt daar relatief makkelijk overheen. 

Ik kan er nog iets aan toevoegen. Ik volg dit soort zaken al jaren. Ik heb 
een stuk of dertig rechtszaken bijgewoond, de laatste zes jaar. Wat mij in 
het algemeen opvalt, met alle respect voor de Nederlandse rechterlijke 
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macht, is dat het weleens ontbreekt aan kennis van privacyrecht en 
mensenrechten, technische kennis en visie en rechterlijke moed bij 
rechters, ook in vergelijking met sommige andere landen en op Europees 
niveau. Dan zijn wij toch aangewezen op de hoogste rechters, de Raad 
van State, de Hoge Raad en het Europese Hof in Luxemburg en 
Straatsburg om gevoelige knopen door te hakken. Het gaat vaak om grote, 
politiek gevoelige zaken en nationale infrastructuur. Rechters vinden dat 
een beetje eng, is mijn indruk, na zes jaar in privacyland rondgewandeld 
te hebben. Je ziet dat vaker; ook in militaire zaken en andere mensenrech¬ 
tenzaken. Onze hoop is nu vooral gevestigd op de Hoge Raad en 
misschien zal het Europees Hof zich nog over deze kwestie uitlaten; wie 
weet. 

De heer Van Miltenburg: Misschien verwacht u dat ik het niet eens ben 
met de vorige spreker. Van een discussie over de rechterlijke macht wil ik 
wegblijven. Ik zal heel concreet ingaan op deze vraag. Daar hebben 
inmiddels zes rechters naar gekeken. Zij hebben getoetst of het landelijk 
schakelpunt voldoet aan de wet- en regelgeving over normering en 
standaardisering die we in dit land met elkaar hebben afgesproken. Zes 
rechters zijn tot dusver tot de conclusie gekomen dat dit geen enkel 
probleem is en dat we hier een veilige methodiek hebben, waarbij de 
privacy van de patiënt en het beroepsgeheim van de zorgverlener - vlak 
dat ook niet uit, want dat is ook belangrijk - niet in het geding zijn. Als 
partijen deze uitspraak nog steeds niet bevredigend vinden, kunnen ze 
nog in cassatie gaan en misschien naar het Europees Hof, dat gaan we 
zien. Dit is wat er feitelijk is gebeurd bij die toets, om antwoord te geven 
op die vraag. 

De heer Bruijn (VVD): Ik had nog twee vragen aan de heer Van Engelen, 
maar misschien willen de anderen er ook op reageren. De heer Van 't 
Noordende sprak over de NEN-normen die al gelden. Dat is in tegen¬ 
stelling met wat wij van andere sprekers hoorden over het toepasbaar 
maken van NEN-normen, welke dat ook zijn, want dat is een ingewikkeld 
oerwoud. Dat is een van de dingen die invoering van de rompwet nu 
noodzakelijk maken, dus dat is voor ons een belangrijk onderwerp. Ik ben 
benieuwd of de heer Van Engelen, of een van de andere sprekers, kan 
ingaan op die tegenstelling. 

Ik heb ook nog een vraag over een andere opmerking van uw buurman, 
namelijk of patiënten zich, als je deze wet invoert, kunnen onttrekken aan 
het systeem. Kunnen zij dan in het Radboudziekenhuis zeggen dat zij er 
niet aan meedoen; dat zij het aan de dokter overlaten; dat zij een uitdraai 
willen, dat zij niet zelf elektronisch actief willen zijn, dat zij dat ook niet 
durven, omdat zij het risico niet willen lopen dat zij een van die computers 
hebben die niet veilig zijn? Kan de patiënt zelf de afweging maken of hij 
dat risico neemt, of niet? Of wordt de patiënt die mogelijkheid ontnomen 
na de invoering van deze wet, zoals uw andere buurman zei? 

De heer Van Engelen: Om vooral op de laatste vraag te reageren, 
patiënten hebben daarin hun eigen vrije wil. Zij kunnen zich aanmelden 
om bij ons elektronisch toegang te krijgen. Daarvoor moeten zij zich 
uiteraard bij ons identificeren. Vanaf dat moment hebben zij die 
mogelijkheid en die kunnen zij op ieder moment thuis ook weer uitzetten. 
Dan moeten zij zich wel opnieuw aanmelden, maar in de tussenliggende 
tijd zit het hele verhaal op slot. Ik denk dat andere mensen meer verstand 
hebben van de specifieke toepassing en wat nodig is voor de 
NEN-normering dan ik. Het gaat er vooral om dat de patiënt hierin zelf een 
keuze heeft. Het Radboud kiest voor digital first, physical next. Wij denken 
dat het van deze tijd is om mensen vooral een digitaal pad aan te bieden. 
Ook hier is het weer voor de mensen die het kunnen en die het willen. De 
keuze ligt uiteindelijk bij de patiënt zelf, ook bij de mensen die het niet 
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willen. Voor hen hebben we dan misschien ook meer tijd, omdat we 
sommige routinezaken niet meer in persoon hoeven te doen. 

De heer Bruijn (VVD): Voorziet u dat bij dóórontwikkeling van het systeem 
die keuze bij de patiënt zal blijven? Als iemand niet in het LSP wil of thuis 
geen informatie wil inzien, gezien het risico, ook al zou slechts 1 op de 
1.000 computers onveilig zijn, zal de mogelijkheid blijven bestaan dat de 
patiënt het zelf afweegt in plaats van dat het wordt opgelegd door het 
bijvoorbeeld niet in te voeren? 

De heer Van Engelen: Ik kan alleen maar spreken over de strategie van 
het Radboudumc. Dat zal onze lijn zijn. Als dat wordt geblokkeerd door de 
wetgeving, hebben we een ander probleem, maar misschien ook een 
andere discussie en een andere commissie. 

De heer Van 't IMoordende: Ik reageer even op het «onttrekken aan». Er 
is een opvallende passage in de brief die de Minister heeft geschreven 
naar aanleiding van de brief van Privacy First, die de heer Böhre ook 
noemde. Zij zegt dat als de gespecificeerde toestemming er eenmaal is, 
een simpele, gerichte vraag om toestemming niet langer met ja of nee 
beantwoord mag worden. Dat zou impliceren dat, als een patiënt bij zijn 
arts zit en als die vraagt of hij de gegevens mag ontsluiten voor een 
gynaecoloog - dat is niet hetzelfde als push, maar Whitebox-achtig 
ontsluiten, bijvoorbeeld voor een gynaecoloog in het OLVG - en als die 
patiënt ja of nee zou willen zeggen, dat misschien al niet meer kan. Ik denk 
dat het heel zinvol is om de Minister hierover goed te bevragen. Zij lijkt 
daarbij een wat rigidere opstelling te hebben. 

De heer Verheul: Ik denk dat alle bestaande NEN-normen niet geschikt 
zijn om als basis te fungeren voor beveiliging van het systeem. Er moet 
echt iets anders komen. 

De voorzitter: Dat is heldere taal, denk ik. 

Mevrouw Bredenoord (D66): De heer Verheul begon te vertellen dat er 
inmiddels allerlei nieuwe cryptografische technieken in ontwikkeling zijn, 
die maken dat je veel veiliger gegevens zou kunnen uitwisselen. Hij zei dat 
de manier waarop dat nu bij het LSP gebeurt, wellicht achterhaald is. Zal 
het aannemen van het wetsvoorstel in deze vorm een aanjagende functie 
hebben om die nieuwe vormen te ontwikkelen? Het kan ook dat er gebruik 
wordt gemaakt van de dingen die al gebeuren of die er al zijn. Kunt u 
daarop reageren? 

De heer Verheul: Dat hangt een beetje af van het verantwoordelijkheids¬ 
besef van de mensen die gaan over de implementatie van de wet en die 
de algemene maatregel van bestuur schrijven. In bredere zin zie ik een 
kans, als de uitwisselingssystemen zouden aanhaken bij de ontwikke¬ 
lingen op het gebied van de elektronische identiteit en als dat één geheel 
wordt. Dat geldt niet alleen voor de zorg, maar dat geldt ook voor het 
onderwijs. Daarover zou je een vergelijkbare discussie kunnen houden. 

Als er op een goede manier dingen worden gecombineerd, komen we in 
een veilige situatie terecht, maar wat ook kan is dat dit niet overgenomen 
wordt en dat patiëntgegevens in the clear bij een uitwisselingssysteem 
komen, waarvan je mag hopen dat het niet gehackt is. Het kan ook dat er 
een verwijsmatrix is met allerlei gevoelige gegevens. Dat zou ik ten koste 
van alles willen vermijden. 

De heer Van Miltenburg: Wij volgen hierin een heel praktische route. Het 
is een balans tussen patiëntveiligheid en privacy. Je hebt te maken met 
visies van beveiligingsexperts. Over het LSP hadden wij altijd het 
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standpunt dat wij de normering en de regelgeving volgen die we kennen. 
Dat betekent dat er een uitnodiging ligt voor iedere partij die op een 
praktische manier de balans kan vinden voor een verbetering. Daarmee 
kunnen we ook de normering aanscherpen. Als je dat doet, moet je daar 
een draagvlak of brede consensus voor hebben, of dat nou op wettelijke 
basis is, via NEN-normering of wat dan ook. Dan heeft het veld zich 
daaraan te conformeren. Dat is meer een politiek vraagstuk. Er moet een 
keuze worden gemaakt tussen de diverse visies. VZVZ zal zich altijd 
inspannen om aan die nieuwe regelgeving of normering te voldoen. Ik 
nodig het veld daarbij ten zeerste uit. Ik wil ook een lans breken voor ICT 
Nederland. Ik heb al gezegd dat er minimaal 15 concurrerende partijen zijn 
die aan die normering moeten voldoen. Er zijn partijen bij die daar nog 
ver vanaf zijn, als je die normering gaat aanpassen. Dat betekent dat je 
ook een soort grace period zou moeten hebben, waarin je partijen de 
gelegenheid geeft om die aanpassingen te doen. Volgens mij zijn dat de 
basisaspecten. Ik ben het hartgrondig met mijn buurman eens. Kijk vooral 
vanuit het belang van de patiënt. De verhouding tussen privacy en 
patiëntveiligheid is niet zwart-wit. Soms moet je het ene afwegen tegen 
het andere. Dan moet je een keuze maken op grond van praktische 
overwegingen, waarbij je ook aan de wet- en regelgeving voldoet. Als wij 
vinden dat we die norm omhoog moeten trekken, kunnen we dat doen. 

De heer Verheul: In de nieuwe Europese privacyverordening die eraan 
komt, staat expliciet: dataminimalisatie. Als je met minder toe kunt, moet 
je dat doen. In het VZVZ-systeem staat een verwijsindex waarvan ik 
beweer dat je het met minder kunt doen. Dan ben je dus eigenlijk wettelijk 
verplicht om dat te doen. Het is geen keuze of je dat gaat doen als iemand 
dat zegt, maar het is eigenlijk al een wettelijke verplichting om dat te gaan 
doen. 

De heer Ganzevoort (GroenLinks): Ik heb een vraag over de technische 
aspecten op het gebied van veiligheid en privacy, die ik in de vorige ronde 
ook heb gesteld. Deze vraag gaat over het deel dat nu voorligt om al in te 
voeren, in verhouding tot de delen die uitgesteld worden. Sommige 
sprekers hebben zich hier al over uitgelaten, maar de heren Verheul en 
Van 't Noordende nog niet zo specifiek. Als we het wetsvoorstel zouden 
aannemen en een deel ervan in werking treedt, is er dan een meerwaarde 
ten opzichte van de huidige situatie, door dat ene deel dat in werking 
treedt? Of ontbreken dan belangrijke elementen op het gebied van 
veiligheid en privacy? Zou het misschien als totaal in balans zijn, terwijl 
die rompwet zonder die elementen toch tekortschiet? Zou u kunnen 
zeggen hoe u dat ziet? 

De heer Verheul: Als we deze kans gebruiken om goede normen neer te 
leggen in een algemene maatregel van bestuur om daar extra aandacht 
aan te besteden, denk ik dat dit meerwaarde heeft, zoals ik al zei. Eerlijk 
gezegd zou ik het ook een slecht idee vinden om te verplichten dat inzage 
door een patiënt mogelijk is. Het risico is dan dat zorgaanbieders veel te 
snel ertoe overgaan om die gegevens beschikbaar te stellen. 

De heer Ganzevoort (GroenLinks): Bedoelt u nu dat die inzage wel of nog 
niet geregeld moet worden? 

De heer Verheul: Dat die nog niet geregeld wordt, is op zich geen slecht 
idee. Dan hebben we meer tijd om dat op een verantwoorde manier te 
doen. Aan het begin van deze sessie hadden we het over de banken en 
dat je kunt aanloggen met een bankmiddel. Daar werd over gesproken. 

Dat was een goed idee, maar daar zit ook een privacykant aan. Hoe 
acceptabel vind jij het dat een bank waar je naartoe gaat om een 
hypotheek aan te vragen, kan zien dat je de ene keer aanlogt bij het UMC 
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in Utrecht en dan misschien bij het Radboud in Nijmegen of bij een 
ggz-instelling? Dat geeft allerlei informatie die een bank eigenlijk niet zou 
moeten hebben. Met dat soort issues zijn wij nu hard bezig bij het elD. Je 
kunt de bestaande middelen van de banken niet zomaar inzetten in deze 
context, omdat daar ook allerlei privacy-issues aan vastzitten. 

De heer Ganzevoort (GroenLinks): Dit soort vragen raken aan de 
minimalisering van data, zoals terecht genoemd. Sommige elementen die 
buiten de rompwet staan, zijn bedoeld om te matigen of om wat meer 
zorgvuldigheid in te bouwen. Als je die nu niet regelt bij het invoeren van 
deze rompwet, bijvoorbeeld hoeveel gegevens over welke patiënt door 
wie worden geraadpleegd, en dergelijke, zal die rompwet dan niet een 
veiligheidsrisico in zich hebben? 

De heer Verheul: Volgens mij is het uitgangspunt dat patiënten die niet bij 
hun eigen zorgaanbieder kunnen navragen of op een andere manier het 
gevoel hebben dat zij voldoende in control zijn, kunnen zeggen dat er 
geen uitwisseling mag plaatsvinden. Dan is het gewoon klaar. Ik denk dat 
iedereen die er weinig vertrouwen in heeft, het kan stoppen. 

De heer Van 't Noordende: De vraag gaat over de rompwet aannemen 
en een aantal artikelen niet. Het is op zichzelf interessant dat de Minister 
zelf een precedent geeft. Er is dan ook een andere optie, namelijk om de 
artikelleden 15a, b en c niet in werking te stellen. De Minister stelt 
artikellid 15b al niet in werking. Ik denk dat er aan deze wet niets verloren 
gaat, sterker nog, ik denk dat de wet generieker blijft, als de artikel¬ 
leden 1 5a, b en c verdwijnen. Dan vallen we voor de toestemming terug op 
de WGBO en dan kunnen we gaan nadenken over de vraag hoe we 
patiëntenrechten echt gaan borgen in een wet die op de patiënt gericht is, 
in plaats van op de zorgverlening. Als je die drie artikelleden 15a, b en c 
eruit haalt houd je over: het recht op inzage. Dat is geen verplichting, 
maar dat recht op inzage is prima. Daar zijn al ontwikkelingen gaande. 

Dan houd je eventueel die NEN-normering over, hoewel dat ook op een 
andere manier kan, en boetebepalingen. Dat is allemaal prima, maar die 
drie artikelleden zijn omstreden. We lopen hartstikke op de tijd vooruit. Er 
wordt ingezet op een patiëntenportaal waarvan Google een aantal jaren 
geleden al heeft gezegd: we stoppen ermee, want we snappen niet hoe 
we het moeten gaan doen. Dat is geen kleine club. En wij denken dat wel 
even in een paar jaar te gaan fiksen. Schrap die drie onderdelen, dan 
wordt het wettelijke stelsel niet verslechterd. We houden de WGBO (Wet 
op de Geneeskundige Behandelovereenkomst) en de Wbp. Dan kunnen 
we gaan nadenken en experimenteren met betere manieren om patiënten¬ 
rechten te waarborgen, bijvoorbeeld door een patiëntenportaal te bouwen 
zonder dat het een verplichting impliceert. 

Mevrouw Nooren (PvdA): De eindvraag is of het wijs is om die rompwet 
nu in te voeren of niet. 

De heer Van 't Noordende: Alleen als je de artikelleden15a, b en c 
schrapt, wat mij betreft. 

Mevrouw Nooren (PvdA): Niet de variant die de Minister nu voorstelt. 

De heer Van 't Noordende: Niet de variant met uitstel, want dat heeft 
een aanjagende functie in de richting van iets waarvan ik denk dat het een 
heel slecht idee is, namelijk een patiëntenportaal om de toestemming te 
regelen en dat wordt dan ook nog zo'n beetje verplicht. 
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Mevrouw Bredenoord (D66): Eigenlijk zegt u daarmee: maak de rompwet 
echt tot een rompwet, met alleen bepalingen voor de professional, en 
denk na over aanpassing van de WGBO, 

De heer Van 't Noordende: Ik zou de WGBO niet aanpassen, want die 
gaat juist uit van situaties in de zorg die heel vaak voorkomen. Dat is een 
heel mooie, technologie-onafhankelijke wet. Ik zou zeggen: regel een 
aantal dingen voor patiënten die wel zelf hun eigen regie willen voeren. 
Hoe bescherm je die dan effectief? Dat is een andere vraag. Die wordt nu 
helemaal niet opgelost. 

De voorzitter: We zijn bijna aan het eind van deze sessie, maar we zijn 
nog niet bij de eindtijd. Heeft een van de collega's nog een dringende 
vraag? 

De heer Ganzevoort (GroenLinks): We worstelen ermee dat je heel erg 
moet afwegen tussen het ene en het andere belang. Met het oog op de 
veiligheid zou je de artikelleden 15a, b en c er niet in moeten zetten, 
volgens u, ook niet als uitstelbepaling. Dat betekent dat je daarmee afziet 
van het digitale inzagerecht op portaalniveau. 

De heer Van 't Noordende: Nee, dat inzagerecht blijft erin staan. Dat is 
niet 15a, b en c. 

De heer Van Engelen: Dat is d. 

De heer Ganzevoort (GroenLinks): Over welk punt zegt u dan dat er geen 
zicht op is dat we dat technisch voor elkaar gaan krijgen? 

De heer Van 't Noordende: Gespecificeerde toestemming is een nieuw 
concept dat we nog niet snappen. We schieten door als we dat nu willen 
gaan verplichten. Dat is mijn punt. 

Mevrouw Nooren (PvdA): Verschillende mensen hebben iets gezegd over 
artikellid 15d, over de informatieverstrekking. Ik hoorde her en der ook de 
vraag of die drie jaar wel nodig is. Dat is eigenlijk nog niet zo aan de orde 
geweest. Als de artikelleden a, b en c wegvallen, blijft artikellid d over. Is 
de veronderstelling dat alles drie jaar wordt uitgesteld? Na een jaar weten 
we of a, b en c kunnen. Er zijn ook mensen die vragen waarom we daar zo 
lang mee wachten. 

De voorzitter: In het eerste deel zeiden mensen: we weten helemaal niet 
of het over drie jaar kan. En hier wordt gevraagd: waarom wacht u zo 
lang? 

Mevrouw Nooren (PvdA): Het is wel interessant om dat te horen. 

De heer Van Engelen: Wij hebben gezegd dat je met artikellid 15d morgen 
al kunt beginnen. Dat kan al. Dat zou ik absoluut niet willen uitstellen. Een 
punt dat nog niet aan de orde is geweest, is dat van de globalisering van 
de gezondheidszorg. Er werd al gesproken over Google. Er zijn allerlei 
grote bedrijven op wereldschaal met dit soort elementen bezig, zoals ons 
eigen Philips, Google en Apple, dat het grootste elektronisch patiënten¬ 
dossier ter wereld aan het vormen is. Daarmee zullen wij te maken 
krijgen. Volgens mij zou het recht op elektronische inzage voor de patiënt 
zelf als een paal boven water moeten staan. Daar kun je morgen mee 
beginnen. Dat moet je zeker niet uitstellen tot over drie jaar, want dan 
hebben we weer andere redenen om dat niet te doen. 
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De voorzitter: Ik geef de gelegenheid voor een hartenkreet van een van 
de sprekers, ook degenen op de tweede rij. 

De heer Böhre: Ik heb nog een kleine opmerking. Eerder vanmiddag werd 
door iemand opgemerkt dat het recht op privacy op gespannen voet zou 
staan met het recht op goede zorg. Daar schrok ik een beetje van. Beide 
zijn mensenrechten en beide dienen optimaal te worden gewaarborgd. De 
kunst is om ze zo goed mogelijk met elkaar in balans te brengen. Dat is 
een lastige opgave, maar het moet gebeuren. Het ene mensenrecht gaat 
nooit boven het andere. Het is de uitdaging voor de Kamer om alle 
belangen die bij dit dossier spelen, zoals privacy en veiligheid, mooi in 
balans te brengen, zodat Nederland daarmee een stap vooruit zet. 

De voorzitter: Buitengewoon hartelijk dank dat de aanwezigen hier 
hebben willen komen en dat zij erin zijn geslaagd om in vijf minuten te 
zeggen wat zij wilden zeggen. In de discussie is er nog wat verhelderd. Wij 
gaan er zeker ons voordeel mee doen. Ik denk dat we blij mogen zijn dat 
we deze sessie gehad hebben. Wij gaan ons volgende week bezinnen op 
de vraag hoeveel tijd we nog nemen om vragen te stellen aan de Minister. 
Er is afgesproken dat we nog een vragenronde willen. Mocht er toch nog 
iets zijn wat men kwijt wil, aarzel dan niet om daarover contact op te 
nemen. Daar staan wij van harte voor open. Ik mag u allen een kleinig¬ 
heidje aanbieden van de Eerste Kamer. Wij hebben onlangs gevierd dat de 
Staten-Generaal 200 jaar bestaat, zoals u wellicht weet. Alle medewerkers 
van de Eerste Kamer hebben meegewerkt aan het maken van een boek 
met feitelijkheden en ervaringen uit die geschiedenis van 200 jaar. Dat is 
erg leuk gedaan en dat mag ik u aanbieden. 

Sluiting 18.29 uur. 
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